01 Microsoft OneNote簡介

Microsoft OneNote是Windows旗下的一款文檔軟件，可以免費下載，包含在Microsoft Office 2019和Microsoft 365中。由于 Microsoft OneNote 默認安裝在所有 Microsoft Office/365 產(chǎn)品中，因此即使 Windows 用戶不使用該應用程序，它仍然可以打開.one類型文件格式。OneNote惡意郵件通過偽裝成 DHL 運輸通知、發(fā)票、ACH 匯款表格、機械圖紙和運輸文件等釣魚郵件，迷惑用戶點擊。與 Word 和 Excel 不同，前者啟動腳本是通過宏，而OneNote 不支持宏，但是OneNote 允許用戶將附件插入到文檔中，雙擊該附件時，將啟動附件，在不經(jīng)意間就會中毒。

下圖是釣魚郵件：

 

02  OneNote攻擊行為特征及識別方法

 

在Office宏禁用之后，Microsoft OneNote已成為更流行的威脅媒介之一。2022 年，微軟在 Office 文檔中默認禁用了宏，有效地阻止了現(xiàn)有利用宏的攻擊方式。從那時起，攻擊者一直在尋找替代方案，到目前為止 ，OneNote成為新的攻擊媒介，在眾多攻擊媒介中也是一種比較受歡迎的。

OneNote的頻繁出現(xiàn)，對于用戶造成難以預估的損失，但是無論攻擊者采用哪種方法，他們都有一個共同點，都需要用戶主動點擊，來運行帶有惡意行為的軟件。話雖如此，但還是要提高警惕，切勿點擊任何不熟悉的程序尤其是運行通過電子郵件下載的文件。

此次攻擊事件中，病毒從遠程站點下載惡意軟件，并在安裝時自動啟動腳本，惡意行為實現(xiàn)主要在png文件(其實是修改了文件后綴的dll程序)，其中惡意行為可以自定義。
 

這種類型的惡意攻擊行為會包括但不限于：

1. 遠程訪問受害者的設備以竊取文件

2. 保存瀏覽器密碼

3. 截屏，使用網(wǎng)絡攝像頭錄制視頻

4. 使用遠程訪問木馬從受害者的設備中竊取加密貨幣錢包

5. 通過后門的方式進行計算機的遠程控制操作等

6. 嚴重影響被感染系統(tǒng)性能及安全性，造成信息泄露或遠程下載其他惡意文件等操作，危害較大。
 

對于檢測OneNote文檔是否攜帶病毒的識別方法如下:

1. 是否是通過郵件附件下載的

2. 雙擊后是否會彈出不安全的窗口

3. 鼠標移動到點擊的位置，點擊后是否會出現(xiàn)一個文件的絕對路徑

4. 試著移動背景或者其他圖片，是否會發(fā)現(xiàn)插入的附件文件

5. 滿足以上條件，您就可以將該文件放入回收站，然后清空回收站，或者將其交給從事安全工作的專業(yè)人員。切記不要發(fā)給別人，讓別人中招。

 

03  OneNote攻擊示例樣本分析

 

惡意的OneNote文檔打開后背景是一張圖片，”Open”也是一張圖片，”Opne”圖片下面的attachm...是惡意的附件，才是病毒的主體。

如下圖所示：

 

其實這里使用了障眼法，用”Open”照片擋住了真正的需要雙擊才能啟動的惡意附件。將”Open圖片移動開后，就會見到真正的惡意附件。

如下圖所示：

 

提取其中的代碼，代碼的內(nèi)容主要分3個部分，第一部分是往注冊表里寫入混淆的代碼；第二部分是修復混淆的代碼，下載惡意文件然后執(zhí)行；第三部分為刪除注冊表，并且彈出錯誤信息。

如下圖所示：

 

第一部分

第二部分

第三部分

混淆的代碼將”50k”替換調(diào)就可以看見原來的代碼，代碼主要使用curl.exe保存在”C:\\ProgramData\\121.png”,通過調(diào)用方式”shell.shellexecute("rundll32" "C:\\ProgramData\\121.png,Wind", "", "open", 3);”判斷該文件為dll可執(zhí)行文件而不是png圖片文件。

如下圖所示：

 

寫入注冊表，彈錯錯誤信息如下圖所示，在執(zhí)行完后會刪除該注冊表項。

如下圖所示：

 

關于dll文件，因為下載鏈接已經(jīng)失效，就不在敘述，大致的攻擊流程就是這些。

如下圖所示：

 

值得慶幸的是雙擊該附件的時候會彈出窗口詢問是否運行，這里提醒廣大朋友注意警惕。

如下圖所示：

 

04  江民赤豹反病毒實驗室給出的對抗防御措施

1. 不要隨意下載運行電子郵件的文件，不要打開不認識的人的文件。如果打開了陌生文件，請不要忽略操作系統(tǒng)或應用程序顯示的警告。

2. 如果看到一條警告，指出打開附件或鏈接可能會損害您的計算機或文件，請不要點擊”確認”按鈕并關閉應用程序。

3. 如果您認為這可能是合法的電子郵件，請與從事安全工作的人員分享，以幫助您驗證文件是否安全。

4. 電子郵件釣魚手段是老生常談的問題，對于不明來歷的郵件，請保持警惕，切勿下載點擊附件文件，江民安全專家提醒廣大用戶做好防范，警惕釣魚。

 

05  江民赤豹反病毒實驗室介紹

江民赤豹反病毒實驗室專注反病毒技術研究，擁有自主研發(fā)的文件威脅檢測引擎、AI威脅檢測引擎、流迭代威脅檢測引擎等多款反病毒引擎產(chǎn)品，形成了全平臺的惡意代碼防御體系，并針對日新月異的網(wǎng)絡安全環(huán)境，提供安全事件應急響應、惡意代碼分析處置等多種安全服務。江民赤豹反病毒實驗室致力于提供全面、系統(tǒng)、一體化的網(wǎng)絡安全防護，為客戶提供強大技術支撐。