Emotet、Qakbot、远程访问木马(RAT)--它们有什么共同点?
2022 年,微软默认禁用宏,攻击者转而使用非宏的传输机制--不起眼的 OneNote 文件就是完美的替代品。
OneNote 文件是Secure 吗?
OneNote 是微软 Office 套件中的一款流行的生产力应用程序,全球有数百万人在使用。由于功能多样,OneNote 已成为记事、信息管理的便捷工具,不幸的是,它也是恶意软件的传播工具。
OneNote 使用一种专有的文件类型,文件扩展名为 .one,允许用户用丰富的文本、数字手写和对象(包括图像和多媒体)来格式化笔记。尽管 OneNote 文件没有恶意,但黑客利用其复杂性,通过在文件中嵌入恶意命令来传播恶意软件。这些命令可以在用户的设备上下载恶意软件,导致数据丢失、设备受损、身份盗窃或金融欺诈等破坏性后果。
OneNote 越来越流行,也越来越容易访问,但不幸的是,人们并没有意识到其中的安全风险。由于缺乏安全意识,攻击者很容易在 OneNote 文件中嵌入恶意命令,诱使用户安装恶意软件。
攻击技术:OneNote 恶意软件分发活动
威胁者使用各种社交工程技术,利用 OneNote 文件传播恶意软件。他们的伎俩通常包括电子邮件钓鱼和将恶意有效载荷伪装成合法的 OneNote 组件。
图片
安全研究人员在 2023 年 2 月发现了一个利用恶意图片传播 Qakbot(又称 QBot)恶意软件的活动。攻击者诱骗用户双击 OneNote 文档中的设计元素。当目标双击该元素时,一个嵌入式文件会执行一系列命令,在目标设备上下载并安装恶意软件。该活动是攻击者通过 OneNote 文件引诱毫无戒心的用户在其系统上下载恶意软件的一个例子。
攻击者如何在 OneNote 的信息下隐藏恶意脚本的示例图片
附加文件和电子邮件钓鱼活动
在另一次活动中,攻击者发送了带有伪装成合法文档(如指南、发票和其他文档)的恶意 OneNote 附件的回复链电子邮件。攻击者使用了与上述类似的技术,在这些附件中隐藏了一个严重混淆的 VBScript,执行时,它会以动态链接库 (DLL) 的形式将 Emotet 恶意软件下载并安装到受害者的设备上。Emotet 恶意软件非常危险,因为它会在受攻击的设备上悄无声息地运行,窃取机密信息(电子邮件、联系人)或等待来自控制服务器的命令,如下载其他有效载荷。
为应对OneNote 攻击,微软从 2023 年 4 月的 2304 版开始阻止用户打开带有危险扩展名的嵌入式文件。OneNote 会显示一个限制用户打开文件的对话框,但用户仍可通过单击 "确定 "打开该文件。
嵌入式超链接
除了利用附加文件,攻击者还可以使用 OneNote 文件中的 URL、超链接或图像来传播恶意软件。他们的社交工程策略各不相同,但最终目的都是让受害者执行恶意有效载荷。
通过内容解除和重构防止 OneNote 恶意软件传播
OPSWAT Deep Content Disarm and Reconstruction (Deep CDR)技术将每个文件和文件组件都视为潜在威胁。在处理 OneNote 等复杂文件时,必须确保没有隐藏的恶意组件--无论是隐藏在图像后面的脚本、伪装的超链接,还是埋藏在笔记本某个标签中的恶意软件。了解Deep CDR 支持的所有文件类型。
Deep CDR 检查 OneNote 文件和任何附件、图像或其他组件。然后递归地对它们进行消毒,并删除任何潜在的恶意内容。在同一扫描中,OPSWAT Metascan 技术利用多个反病毒引擎检测文件中的恶意软件。
Deep CDR 检测 OneNote 文件中的恶意对象
最后,Deep CDR 会重新生成一个安全的 OneNote 文件,其中不含恶意对象,同时保留文件的原有功能。Deep CDR 会清除所有已知和未知威胁,使文件可以安全使用。
以下是MetaDefender Core 扫描结果:
Deep CDR 生成的文件可以安全使用
最后一点:保护文件的最佳做法
为防止网络攻击滥用 OneNote 文件,请考虑实施以下安全措施:
- 谨慎对待电子邮件和附件:收到带有 OneNote 附件的电子邮件时要谨慎,尤其是来自未知或可疑发件人的电子邮件。如果来源未经验证或看起来可疑,请避免打开附件。
- 不断更新软件:黑客经常利用软件应用程序中的漏洞在设备上安装恶意软件。尽管微软不断加强对漏洞利用的防护,但网络攻击者仍然可以将使用旧版本、未打补丁软件的组织作为攻击目标。为了应对这种情况,请及时更新操作系统、防病毒软件和所有相关应用程序。定期应用软件更新可确保您的系统免受已知漏洞的攻击。
- 谨慎使用 OneNote 文件中的链接: 与电子邮件附件类似,打开 OneNote 文件中的链接时也要谨慎。这些链接可能会指向恶意网站,从而使您的设备感染恶意软件。只打开可信来源的链接,并确保您访问的网站是合法和安全的。
- 防病毒保护:使用信誉良好的杀毒软件扫描每个传入文件,查找已知和未知的恶意软件。为提高效率,与使用单一引擎相比,使用多个防病毒引擎可提高恶意软件的检测率。了解OPSWAT Multiscanning 技术。
- 删除所有潜在恶意对象:等安全措施 Deep CDR等安全措施,可帮助组织防范先进的恶意软件技术,包括已知和未知威胁、零时差威胁以及无法检测和混淆的恶意软件。将每个文件都视为潜在威胁,可降低无意中执行有害代码的风险。
