随着微软默认禁用宏代码策略的生效,越来越多的攻击者开始使用 OneNote 文档来分发恶意软件 。本文介绍了几个使用 OneNote 文档的案例,展示了攻击者如何使用该类文件进行攻击 。
【OneNote 正在被更多的攻击者使用】为什么选择 OneNote
由于 OneNote 使用范围很广、用户对该类文件缺乏安全意识和保护措施,OneNote 文档对于攻击者来说已经成为越来越有吸引力的攻击载体 。攻击者利用混淆内容与 OneNote 的受信任身份来进行攻击,这种转变的具体原因包括:
- 安全措施的增强:由于对基于宏代码的攻击认识不断提高,许多组织已经采取了很多措施来阻止此类攻击 。2022 年 7 月,微软正式宣布在所有 office 应用程序上默认禁用宏代码,这使得恶意软件分发的可靠性下降 。
- OneNote 的广泛使用:OneNote 作为广泛使用的应用程序,并且能够嵌入不同类型的内容 。OneNote 预装在所有 Office 程序的安装程序中,这意味着即使用户并不使用 OneNote 也可以利用该类文件进行攻击 。
- 缺乏安全意识:OneNote 的攻击并不像基于宏代码的攻击那样广为人知,组织可能并没有足够的安全措施来预防此类攻击 。
- 规避技术:windows 会对从互联网下载的文件进行 Web 标记,但 OneNote 并不会受此影响 。攻击者可以嵌入可执行文件或者启用宏代码的文档,这都不会触发系统的安全告警 。
- 受信任的应用程序:由于 OneNote 是受信任的应用程序,用户很容易上当 。并且,OneNote 也更容易与其他微软的产品(如 Office、OneDrive 等)进行集成 。
ThreatLabz 的安全研究员 Niraj 开发了名为 OneNoteAnalyzer 的分析工具,可以大大加快分析效率 。
文章插图
OneNoteAnalyzer 分析工具
远控木马
从 2022 年 12 月开始,攻击者一直在使用 OneNote 文件分发远控木马,例如 AsyncRAT、Quasar RAT?.NETWire 和 Xworm 。这些攻击中,OneNote 文件都使用了复杂的混淆技术,逃避安全软件的检测 。
在调查过程中,研究人员发现文件被命名为 PaymentAdv.one:
文章插图
钓鱼文档
使用 OneNoteAnalyzer 分析该文件后,攻击时通过释放并执行名为 zoo1.bat 的批处理文件进行的:
文章插图
提取的恶意文件
批处理文件经过混淆,并且包含一个加密的数据块,随后是高度混淆的 PowerShell 代码 。
文章插图
混淆的批处理文件
研究人员解析文件,如下所示:
文章插图
执行的命令
日志显示批处理文件复制并伪装恶意样本名为 zoo1.bat.exe,以试图隐藏其活动 。与之相关的 Powershell 代码也经过了混淆并且难以理解,研究人员手动进行格式化后如下所示:
文章插图
可读的 PowerShell 代码
去混淆后,研究人员发现该脚本使用 base64 编码将加密数据块拆分成 AES 密钥等数据 。使用这些数据,脚本就可以解密数据并使用 gzip 解码最终的可执行文件 。
文章插图
识别 AES 密钥
使用 CyberChef 进行处理:
推荐阅读
- Yann LeCun:不在乎社会规范,ChatGPT离真正的人还差得远
- 蝴蝶兰的浇水方式 蝴蝶兰浇水的正确方法
- 床头朝什么方向是正确的床 床头朝什么方向是正确的
- 乱斗火柴人正版 火柴人街霸
- 正常一场球赛多少分钟 一场球赛多少分钟
- 正确的三字经全文 三字经朗读
- 谭咏麟回应传闻 梅根回应传闻
- 正宗广式红豆沙糖水 红豆汤的做法
- ACRH17 绿箭侠17
- 猪皮冻的正确做法 高压锅皮冻