Emotet、Qakbot、遠端存取木馬 (RAT) — 它們有什麼共同點?- 它們都是透過 Microsoft Office OneNote 檔提供的。
當 Microsoft 在 2022 年預設禁用巨集時,攻擊者轉向使用非基於巨集的交付機制,而不起眼的 OneNote 檔是完美的替代品。
是 OneNote 檔 保護?
OneNote 是 Microsoft Office 套件中流行的生產力應用程式,全球數百萬人使用。由於其多功能性,OneNote 已成為記筆記、資訊管理以及惡意軟體分發的便捷工具。
OneNote 使用專有檔案類型,由檔案副檔名 .one 表示,它允許使用者使用富文本、數位手寫和物件(包括圖像和多媒體)設置筆記的格式。儘管 OneNote 檔不是惡意的,但駭客利用其複雜性透過在檔案中嵌入惡意命令來傳遞惡意軟體。這些命令可能會在使用者的設備上下載惡意軟體,從而導致毀滅性的後果,例如資料丟失、設備洩露、身份盜用或金融詐欺。
OneNote 正變得越來越流行和可存取,不幸的是,人們沒有意識到安全風險。這種意識的缺乏使得攻擊者很容易在 OneNote 檔案中嵌入惡意命令,並誘騙使用者安裝惡意軟體。
攻擊手法:OneNote 惡意軟體分發活動
威脅參與者使用各種社會工程技術透過 OneNote 檔傳播惡意軟體。他們的伎倆通常涉及電子郵件網路釣魚和在合法的 OneNote 元件下偽裝惡意負載。
圖像
安全研究人員 在 2023 年 2 月發現了一個活動 ,該活動使用惡意圖像來分發 Qakbot(也稱為 QBot)惡意軟體。攻擊者誘騙用戶按兩下 OneNote 檔案中的設計元素。當目標按兩下該元素時,嵌入的檔會執行一系列命令,這些命令在目標設備上下載並安裝惡意軟體。此活動是攻擊者引誘毫無戒心的用戶透過 OneNote 檔在其系統上下載惡意軟體的一個例子。
攻擊者如何在 OneNote 中的郵件下隱藏惡意腳本的範例圖像
附件和電子郵件網路釣魚活動
在另一個活動中,攻擊者發送了帶有偽裝成合法檔案(例如指南、發票和其他檔案) 的惡意 OneNote 附件的回復鏈電子郵件 。攻擊者使用與上述類似的技術,在這些附件中隱藏了一個經過嚴重混淆的 VBScript,並在執行時將 Emotet 惡意軟體作為動態連結庫 (DLL) 下載並安裝在受害者的設備上。 Emotet 惡意軟體非常危險 ,因為它在受感染的設備上安靜地運行,竊取機密資訊(電子郵件、連絡人)或等待來自控制伺服器的命令,例如下載額外的有效負載。
為了應對 OneNote 攻擊,Microsoft 已阻止使用者從 2023 年 4 月版本 2304 開始打開具有危險擴展名的嵌入檔。OneNote 將顯示一個對話方塊,限制使用者打開檔的能力,但使用者仍可以透過按兩下確定「來打開它。
嵌入的超連結
除了利用附件外,攻擊者還可以使用 OneNote 檔案中的 URL、超連結或圖像來傳播惡意軟體。他們的社會工程策略各不相同,但最終目標是讓受害者執行惡意有效載荷。
透過檔案無毒化防止 OneNote 惡意軟體傳遞
OPSWAT 深度檔案無毒化 (Deep CDR) 技術 將每個檔案和檔案元件視為潛在威脅。在處理複雜檔(如 OneNote)時,請務必確保沒有惡意元件被遮擋在視線之外,無論是隱藏在圖像後面的腳本、偽裝的超連結,還是隱藏在筆記本選項卡之一中的惡意軟體。 瞭解Deep CDR支援的所有檔案類型。
Deep CDR(檔案無毒化) 檢查 OneNote 檔以及任何附件、圖像或其他元件。然後遞歸地清理它們並刪除任何潛在的惡意內容。在同一次掃描中, OPSWAT Metascan 技術利用多個防病毒引擎來檢測檔中的 惡意軟體 。
Deep CDR(檔案無毒化) 檢測 OneNote 檔中的惡意物件
最後, Deep CDR 重新產生安全的 OneNote 檔案,不含惡意對象,同時保留檔案的原始功能。 Deep CDR 刪除所有已知和未知的威脅,使檔案可以安全使用。
以下是 MetaDefender Core 掃描結果:
重新生成的檔案由Deep CDR 使用安全
最後一點:保護檔案的最佳實踐
若要防止濫用 OneNote 檔的網路攻擊,請考慮實施以下安全措施:
- 謹慎使用電子郵件和附件: 接收帶有 OneNote 附件的電子郵件時要小心,尤其是來自未知或可疑寄件者的電子郵件。如果來源未經驗證或看起來可疑,請避免打開附件。
- 保持軟體更新: 駭客經常利用軟體應用程式中的漏洞在設備上安裝惡意軟體。儘管 Microsoft 不斷增強對漏洞利用的保護,但網路攻擊者仍然可以針對使用較舊的、未打補丁的軟體版本的組織。要解決這個問題,請保持您的作業系統、防病毒軟體和所有相關應用程式的更新。定期應用軟體更新可確保保護您的系統免受已知漏洞的侵害。
- 請謹慎對待 OneNote 檔案中的連結: 與電子郵件附件類似,在 OneNote 檔案中打開連結時要小心。這些連結可能會導致惡意網站,這些網站可能會用惡意軟體感染您的設備。只打開來自可信來源的連結,並確保您正在存取的網站是合法和安全的。
- 防病毒保護: 使用信譽良好的防病毒軟體掃描每個傳入的檔以查找已知和未知的惡意軟體。為了提高效率,與使用單個引擎相比,使用多個防病毒引擎將提高惡意軟體檢測率。 瞭解 OPSWAT 多防毒引擎掃描技術。
- 刪除所有潛在的惡意物件:Deep CDR 等安全措施可幫助組織保護自己免受高階和規避性惡意軟體技術的侵害,包括已知和未知威脅、零時差威脅以及無法檢測和混淆的惡意軟體。將每個檔案視為潛在威脅可以降低無意中執行有害代碼的風險。
要了解有關的更多資訊 OPSWAT 威脅檢測 和預防技術, 請聯繫我們的技術專家。
