了解江民最新动态
2023-02-17 来源:安全资讯
通过onenote传播恶意软件新型攻击预警
01 microsoft onenote简介
microsoft onenote是windows旗下的一款文档软件,可以免费下载,包含在microsoft office 2019和microsoft 365中。由于 microsoft onenote 默认安装在所有 microsoft office/365 产品中,因此即使 windows 用户不使用该应用程序,它仍然可以打开.one类型文件格式。onenote恶意邮件通过伪装成 dhl 运输通知、发票、ach 汇款表格、机械图纸和运输文件等钓鱼邮件,迷惑用户点击。与 word 和 excel 不同,前者启动脚本是通过宏,而onenote 不支持宏,但是onenote 允许用户将附件插入到文档中,双击该附件时,将启动附件,在不经意间就会中毒。
下图是钓鱼邮件:
02 onenote攻击行为特征及识别方法
在office宏禁用之后,microsoft onenote已成为更流行的威胁媒介之一。2022 年,微软在 office 文档中默认禁用了宏,有效地阻止了现有利用宏的攻击方式。从那时起,攻击者一直在寻找替代方案,到目前为止 ,onenote成为新的攻击媒介,在众多攻击媒介中也是一种比较受欢迎的。
onenote的频繁出现,对于用户造成难以预估的损失,但是无论攻击者采用哪种方法,他们都有一个共同点,都需要用户主动点击,来运行带有恶意行为的软件。话虽如此,但还是要提高警惕,切勿点击任何不熟悉的程序尤其是运行通过电子邮件下载的文件。
此次攻击事件中,病毒从远程站点下载恶意软件,并在安装时自动启动脚本,恶意行为实现主要在png文件(其实是修改了文件后缀的dll程序),其中恶意行为可以自定义。
这种类型的恶意攻击行为会包括但不限于:
1. 远程访问受害者的设备以窃取文件
2. 保存浏览器密码
3. 截屏,使用网络摄像头录制视频
4. 使用远程访问木马从受害者的设备中窃取加密货币钱包
5. 通过后门的方式进行计算机的远程控制操作等
6. 严重影响被感染系统性能及安全性,造成信息泄露或远程下载其他恶意文件等操作,危害较大。
对于检测onenote文档是否携带病毒的识别方法如下:
1. 是否是通过邮件附件下载的
2. 双击后是否会弹出不安全的窗口
3. 鼠标移动到点击的位置,点击后是否会出现一个文件的绝对路径
4. 试着移动背景或者其他图片,是否会发现插入的附件文件
5. 满足以上条件,您就可以将该文件放入回收站,然后清空回收站,或者将其交给从事安全工作的专业人员。切记不要发给别人,让别人中招。
03 onenote攻击示例样本分析
恶意的onenote文档打开后背景是一张图片,”open”也是一张图片,”opne”图片下面的attachm...是恶意的附件,才是病毒的主体。
如下图所示:
其实这里使用了障眼法,用”open”照片挡住了真正的需要双击才能启动的恶意附件。将”open图片移动开后,就会见到真正的恶意附件。
如下图所示:
提取其中的代码,代码的内容主要分3个部分,第一部分是往注册表里写入混淆的代码;第二部分是修复混淆的代码,下载恶意文件然后执行;第三部分为删除注册表,并且弹出错误信息。
如下图所示:
第一部分
第二部分
第三部分
混淆的代码将”50k”替换调就可以看见原来的代码,代码主要使用curl.exe保存在”c:\\programdata\\121.png”,通过调用方式”shell.shellexecute("rundll32" "c:\\programdata\\121.png,wind", "", "open", 3);”判断该文件为dll可执行文件而不是png图片文件。
如下图所示:
写入注册表,弹错错误信息如下图所示,在执行完后会删除该注册表项。
如下图所示:
关于dll文件,因为下载链接已经失效,就不在叙述,大致的攻击流程就是这些。
如下图所示:
值得庆幸的是双击该附件的时候会弹出窗口询问是否运行,这里提醒广大朋友注意警惕。
如下图所示:
04 江民赤豹反病毒实验室给出的对抗防御措施
1. 不要随意下载运行电子邮件的文件,不要打开不认识的人的文件。如果打开了陌生文件,请不要忽略操作系统或应用程序显示的警告。
2. 如果看到一条警告,指出打开附件或链接可能会损害您的计算机或文件,请不要点击”确认”按钮并关闭应用程序。
3. 如果您认为这可能是合法的电子邮件,请与从事安全工作的人员分享,以帮助您验证文件是否安全。
4. 电子邮件钓鱼手段是老生常谈的问题,对于不明来历的邮件,请保持警惕,切勿下载点击附件文件,江民安全专家提醒广大用户做好防范,警惕钓鱼。
05 江民赤豹反病毒实验室介绍
江民赤豹反病毒实验室专注反病毒技术研究,拥有自主研发的文件威胁检测引擎、ai威胁检测引擎、流迭代威胁检测引擎等多款反病毒引擎产品,形成了全平台的恶意代码防御体系,并针对日新月异的网络安全环境,提供安全事件应急响应、恶意代码分析处置等多种安全服务。江民赤豹反病毒实验室致力于提供全面、系统、一体化的网络安全防护,为客户提供强大技术支撑。