01 Microsoft OneNote簡介

Microsoft OneNote是Windows旗下的一款文檔軟件，可以免費(fèi)下載，包含在Microsoft Office 2019和Microsoft 365中。由于 Microsoft OneNote 默認(rèn)安裝在所有 Microsoft Office/365 產(chǎn)品中，因此即使 Windows 用戶不使用該應(yīng)用程序，它仍然可以打開.one類型文件格式。OneNote惡意郵件通過偽裝成 DHL 運(yùn)輸通知、發(fā)票、ACH 匯款表格、機(jī)械圖紙和運(yùn)輸文件等釣魚郵件，迷惑用戶點(diǎn)擊。與 Word 和 Excel 不同，前者啟動腳本是通過宏，而OneNote 不支持宏，但是OneNote 允許用戶將附件插入到文檔中，雙擊該附件時，將啟動附件，在不經(jīng)意間就會中毒。

下圖是釣魚郵件：

 

02  OneNote攻擊行為特征及識別方法

 

在Office宏禁用之后，Microsoft OneNote已成為更流行的威脅媒介之一。2022 年，微軟在 Office 文檔中默認(rèn)禁用了宏，有效地阻止了現(xiàn)有利用宏的攻擊方式。從那時起，攻擊者一直在尋找替代方案，到目前為止 ，OneNote成為新的攻擊媒介，在眾多攻擊媒介中也是一種比較受歡迎的。

OneNote的頻繁出現(xiàn)，對于用戶造成難以預(yù)估的損失，但是無論攻擊者采用哪種方法，他們都有一個共同點(diǎn)，都需要用戶主動點(diǎn)擊，來運(yùn)行帶有惡意行為的軟件。話雖如此，但還是要提高警惕，切勿點(diǎn)擊任何不熟悉的程序尤其是運(yùn)行通過電子郵件下載的文件。

此次攻擊事件中，病毒從遠(yuǎn)程站點(diǎn)下載惡意軟件，并在安裝時自動啟動腳本，惡意行為實(shí)現(xiàn)主要在png文件(其實(shí)是修改了文件后綴的dll程序)，其中惡意行為可以自定義。
 

這種類型的惡意攻擊行為會包括但不限于：

1. 遠(yuǎn)程訪問受害者的設(shè)備以竊取文件

2. 保存瀏覽器密碼

3. 截屏，使用網(wǎng)絡(luò)攝像頭錄制視頻

4. 使用遠(yuǎn)程訪問木馬從受害者的設(shè)備中竊取加密貨幣錢包

5. 通過后門的方式進(jìn)行計算機(jī)的遠(yuǎn)程控制操作等

6. 嚴(yán)重影響被感染系統(tǒng)性能及安全性，造成信息泄露或遠(yuǎn)程下載其他惡意文件等操作，危害較大。
 

對于檢測OneNote文檔是否攜帶病毒的識別方法如下:

1. 是否是通過郵件附件下載的

2. 雙擊后是否會彈出不安全的窗口

3. 鼠標(biāo)移動到點(diǎn)擊的位置，點(diǎn)擊后是否會出現(xiàn)一個文件的絕對路徑

4. 試著移動背景或者其他圖片，是否會發(fā)現(xiàn)插入的附件文件

5. 滿足以上條件，您就可以將該文件放入回收站，然后清空回收站，或者將其交給從事安全工作的專業(yè)人員。切記不要發(fā)給別人，讓別人中招。

 

03  OneNote攻擊示例樣本分析

 

惡意的OneNote文檔打開后背景是一張圖片，”Open”也是一張圖片，”Opne”圖片下面的attachm...是惡意的附件，才是病毒的主體。

如下圖所示：

 

其實(shí)這里使用了障眼法，用”Open”照片擋住了真正的需要雙擊才能啟動的惡意附件。將”Open圖片移動開后，就會見到真正的惡意附件。

如下圖所示：

 

提取其中的代碼，代碼的內(nèi)容主要分3個部分，第一部分是往注冊表里寫入混淆的代碼；第二部分是修復(fù)混淆的代碼，下載惡意文件然后執(zhí)行；第三部分為刪除注冊表，并且彈出錯誤信息。

如下圖所示：

 

第一部分

第二部分

第三部分

混淆的代碼將”50k”替換調(diào)就可以看見原來的代碼，代碼主要使用curl.exe保存在”C:\\ProgramData\\121.png”,通過調(diào)用方式”shell.shellexecute("rundll32" "C:\\ProgramData\\121.png,Wind", "", "open", 3);”判斷該文件為dll可執(zhí)行文件而不是png圖片文件。

如下圖所示：

 

寫入注冊表，彈錯錯誤信息如下圖所示，在執(zhí)行完后會刪除該注冊表項。

如下圖所示：

 

關(guān)于dll文件，因為下載鏈接已經(jīng)失效，就不在敘述，大致的攻擊流程就是這些。

如下圖所示：

 

值得慶幸的是雙擊該附件的時候會彈出窗口詢問是否運(yùn)行，這里提醒廣大朋友注意警惕。

如下圖所示：

 

04  江民赤豹反病毒實(shí)驗室給出的對抗防御措施

1. 不要隨意下載運(yùn)行電子郵件的文件，不要打開不認(rèn)識的人的文件。如果打開了陌生文件，請不要忽略操作系統(tǒng)或應(yīng)用程序顯示的警告。

2. 如果看到一條警告，指出打開附件或鏈接可能會損害您的計算機(jī)或文件，請不要點(diǎn)擊”確認(rèn)”按鈕并關(guān)閉應(yīng)用程序。

3. 如果您認(rèn)為這可能是合法的電子郵件，請與從事安全工作的人員分享，以幫助您驗證文件是否安全。

4. 電子郵件釣魚手段是老生常談的問題，對于不明來歷的郵件，請保持警惕，切勿下載點(diǎn)擊附件文件，江民安全專家提醒廣大用戶做好防范，警惕釣魚。

 

05  江民赤豹反病毒實(shí)驗室介紹

江民赤豹反病毒實(shí)驗室專注反病毒技術(shù)研究，擁有自主研發(fā)的文件威脅檢測引擎、AI威脅檢測引擎、流迭代威脅檢測引擎等多款反病毒引擎產(chǎn)品，形成了全平臺的惡意代碼防御體系，并針對日新月異的網(wǎng)絡(luò)安全環(huán)境，提供安全事件應(yīng)急響應(yīng)、惡意代碼分析處置等多種安全服務(wù)。江民赤豹反病毒實(shí)驗室致力于提供全面、系統(tǒng)、一體化的網(wǎng)絡(luò)安全防護(hù)，為客戶提供強(qiáng)大技術(shù)支撐。