隨著越來越多的人提高了安全意識并實施強大的安全措施，并且安全軟件變得更加復雜，傳播惡意軟件會變得比以往更加困難。正因為如此，黑客一直在尋找新的技術來欺騙受害者。

微軟 Office 文件曾經是惡意軟件的流行載體，但最近變得不那么有效了，部分原因是默認情況下 Office 軟件不再啟用宏。2022 年 2 月，微軟禁用了文檔中的 VBA 宏，因為它們經常被用作惡意軟件分發方法。此舉促使惡意軟件作者尋找新的方法來分發其有效負載，從而導致其他感染媒介的使用增加，例如密碼加密的 zip 文件和 ISO 文件。黑客的最新選擇是使用微軟 OneNote 文件。

OneNote 文檔已成為一種新的感染媒介，其中包含在與文檔交互時執行的惡意代碼。Emotet 和 Qakbot 以及其他高端竊取器和加密器是使用 OneNote 附件的已知惡意軟件威脅。目前已觀察到使用 OneNote 進行惡意軟件傳遞的電子郵件活動具有相似的特征。盡管消息主題和發送者各不相同，但幾乎所有的活動都使用獨特的消息傳遞惡意軟件，并且通常不使用線程劫持。消息通常包含 OneNote 文件附件，主題包括發票、匯款、財產和季節性主題 ( 如圣誕節獎金 ) 等。2023 年 1 月中旬，安全研究人員觀察到演員使用 URL 投遞 OneNote 附件，這些附件使用相同的 TTP 執行惡意軟件。這包括 2023 年 1 月 31 日觀察到的 TA577 活動。

(資料圖片)

研究人員目前正在開發新的工具和分析策略來檢測和防止這些 OneNote 附件被用作感染工具。本文重點介紹了這一新發展，并討論了惡意行為者用來破壞系統的技術，以及為什么微軟 OneNote 文件被用來傳播惡意軟件和您應該如何保護自己？

為什么 OneNote 被用來傳播惡意軟件？

OneNote 是微軟開發的一款流行的筆記應用程序。它旨在提供一種快速記筆記的簡單方法，并且包括對圖像、文檔和其他可執行代碼的支持。

該軟件功能豐富，因此也是黑客的理想選擇。

2022 年，Microsoft 禁用了 Office 文件中的宏。除此之外，再加上大多數企業已經在努力防范 Office 文件，這意味著黑客現在正在尋找其他文件格式。

OneNote 是一個流行的應用程序，但更重要的是，它默認安裝在所有 Windows 計算機上。這意味著即使潛在的受害者沒有主動使用 OneNote，如果他們單擊該文件，該文件仍會在他們的計算機上運行。

OneNote 是 Microsoft 應用程序，因此 OneNote 文件看起來值得信賴。這很重要，因為除非人們實際點擊該文件，否則惡意軟件不會傳播。它還與其他 Microsoft Office 文件兼容，并且可以嵌入其中。

該軟件允許嵌入許多不同類型的內容。這讓黑客可以使用各種技術來啟動惡意軟件下載。OneNote 以前沒有被用來分發大量惡意軟件。正因為如此，大多數人不會懷疑此類文件，企業也不一定具備防御使用它們的攻擊的能力。

誰是目標？

涉及 OneNote 文件的攻擊主要針對企業。OneNote 文件附加到電子郵件中，然后批量發送給員工。這些文件通常附加到旨在竊取信息的網絡釣魚電子郵件中，但可以附加到任何類型的電子郵件中。

雖然企業員工是最有利可圖的目標，但個人也是潛在的受害者。對個人的成功攻擊將減少獲利，但可能更容易實施。因此，每個人都應該提防不可靠的 OneNote 附件。

OneNote 是如何被詐騙者利用的？

惡意的 OneNote 文檔包含嵌入式文件，通常隱藏在一個看起來像按鈕的圖形后面。當用戶雙擊嵌入的文件時，系統會提示他們一個警告。如果用戶繼續單擊，文件將執行。該文件可能是不同類型的可執行文件、快捷方式 ( LNK ) 文件或腳本文件，如 HTML 應用程序 ( HTA ) 或 Windows 腳本文件 ( WSF ) 。

惡意 OneNote 文檔概述

將 OneNote 文檔武器化的網絡釣魚活動的整體視圖如下面的圖 2 所示。惡意文件以 zip 文件或 ISO 映像形式通過釣魚電子郵件傳遞給目標。我們已經觀察到，大多數惡意文檔要么有調用 Powershell 在系統上刪除惡意軟件的 Windows 批處理腳本，要么有執行相同操作的 VisualBasic 腳本。

惡意 OneNote 文件會在電子郵件中分發，討論發票和晉升、薪資等常見主題。它們還包括收件人需要下載文件的看似合理的理由。

某些電子郵件包含惡意 OneNote 文件作為附件。其他消息將用戶引導至惡意網站，然后鼓勵他們下載 OneNote 文件。

打開它后，受害者將被要求點擊某種類型的圖形。執行此操作后，將執行嵌入文件。嵌入式文件通常用于執行從遠程服務器下載惡意軟件的 PowerShell 命令。

攻擊鏈

隨著 VBA 宏的禁用，威脅參與者已轉向使用 OneNote 附件作為在端點上安裝惡意軟件的新方法。OneNote 附件可以包含嵌入式文件格式，例如 HTML、ISO 和 JScripts，這些格式可以被惡意行為者利用。OneNote 附件對攻擊者特別有吸引力，因為它們是交互式的，并且設計用于添加和交互，而不僅僅是查看。這使得惡意行為者更容易包含可能導致感染的誘人消息和可點擊按鈕。因此，用戶在與 OneNote 附件交互時應謹慎行事，即使它們看起來無害。使用更新的安全軟件并了解與交互式文件相關的潛在風險至關重要。

惡意程序的文件頭示例

為了理解數據是如何在文件中布局的，我們需要在字節級別檢查它。仔細觀察 OneNote 文檔，我們會發現一個有趣的現象，因為它的頭文件的神奇字節并不是一個微不足道的字節。下圖顯示了文檔二進制文件的前 16 個字節。

前 16 個字節需要解釋為 GUID 值 {7B5C52E4-D88C-4DA7-AEB1-5378D02996D3}。我們可以使用 OneNote 規范的官方文檔來理解所有字節及其結構。下圖顯示了來自 OneNote 規范文檔的頭信息。電子郵件 – 社會工程學

與大多數惡意軟件作者一樣，攻擊者通常使用電子郵件作為與受害者的第一聯系方式。他們使用社會工程技術說服受害者打開程序并在他們的工作站上執行代碼。

在最近的網絡釣魚嘗試中，攻擊者發送了一封看似來自可靠來源的電子郵件，并要求收件人下載 OneNote 附件。但是，打開附件后，代碼并未按預期自動更新。相反，受害者會收到一個潛在危險的提示。在這種情況下，與許多 OneNote 附件一樣，惡意行為者打算讓用戶單擊文檔中顯示的 " 打開 " 按鈕，從而執行代碼。傳統的安全工具無法有效檢測此類威脅。

一種可用于分析 Microsoft Office 文檔（包括 OneNote 附件）的工具是 Oletools。該套件包括命令行可執行文件 olevba，它有助于檢測和分析惡意代碼。

嘗試在 OneNote 附件上執行該工具時，發生錯誤。因此，分析的重點轉向動態方法。通過將文檔放在沙箱中，我們發現了一系列腳本，這些腳本被執行以下載和運行可執行文件或 DLL 文件，從而導致更嚴重的感染，如勒索軟件、竊取程序和文件擦除器。戰術和技術

這個特定的活動使用編碼的 JScript 數據來隱藏他們的代碼，利用 Windows 工具 screnc.exe。雖然采用編碼形式，但 Open.jse 文件不可讀。解碼 JScript 文件后，發現了一個 .bat 文件的釋放器。執行時，.bat 文件會啟動一個 PowerShell 實例，該實例會聯系 IP 地址 198 [ . ] 44 [ . ] 140 [ . ] 32。

利用 OneNote 可以安裝什么惡意軟件？

OneNote 文件被攻擊者以各種不同的方法使用。因此，涉及許多不同類型的惡意軟件，包括勒索軟件、特洛伊木馬和信息竊取程序。

勒索軟件

勒索軟件專為勒索目的而設計。一旦安裝，系統上的所有文件都會被加密，如果沒有需要從攻擊者那里購買的解密密鑰，就無法訪問。

遠程訪問木馬

遠程訪問木馬 ( RAT ) 是一種允許攻擊者遠程控制設備的惡意軟件。安裝后，攻擊者可以向機器發出命令并安裝其他類型的惡意軟件。

信息竊取者

信息竊取程序是一種用于竊取私人數據的木馬。信息竊取程序通常用于竊取登錄憑據，例如密碼以及財務信息。一旦在您的計算機上安裝了信息竊取程序，黑客就可以訪問您的私人帳戶。

如何防范惡意 OneNote 文件

幸運的是，針對惡意 OneNote 文件的攻擊并不難防御。他們依賴于人們的粗心大意，因此您可以通過采取一些基本的安全預防措施來保護自己。

不要下載電子郵件附件

惡意 OneNote 文件只有在下載后才會執行。除非您確定知道發件人是誰，否則切勿下載電子郵件附件。

備份文件

盡量備份所有重要文件并將備份保存在單獨的位置，即不使用外接存儲設備插入您的計算機（因為勒索軟件也會對其進行加密），則勒索軟件的威脅較小。值得注意的是，以這種方式防御勒索軟件并不能阻止黑客訪問數據并威脅要發布數據。

使用雙因素身份驗證

遠程訪問木馬可用于竊取密碼。為了防止這種情況，您應該為所有帳戶添加雙因素身份驗證。雙因素身份驗證可防止任何人登錄您的帳戶，除非他們還提供第二條信息，例如發送到您設備的代碼。激活后，您的密碼可能會被盜，小偷仍然無法訪問您的帳戶。

使用殺毒軟件

如果您有防病毒套件，許多類型的勒索軟件和遠程訪問木馬將被阻止運行。但是，不應將防病毒軟件作為唯一的防線，因為許多惡意 OneNote 文件專門設計用于繞過它。

企業應提供員工培訓

所有企業都應就此威脅對員工進行教育。員工需要知道網絡釣魚電子郵件的樣子，并且不應允許他們下載附件。

OneNote 文件是黑客的理想選擇

OneNote 文件是傳播惡意軟件的理想選擇。它們是能夠在大多數人的計算機上運行的可信文件。它們也與惡意軟件無關，因此許多企業沒有能力抵御它們。

任何執行惡意 OneNote 文件的人都可能對其數據進行加密或竊取其個人信息。前者需要支付贖金，而后者可能導致賬戶被盜和財務欺詐。

企業和個人都應該意識到這種威脅，并可以通過遵循基本的安全措施來防范它。

結論

為了有效應對不斷變化的威脅形勢，對安全分析師來說，必須及時了解惡意軟件作者使用的最新攻擊策略。如果系統沒有適當配置以防止此類附件繞過適當的清理和檢查，這些方法可以規避檢測。因此，分析師必須熟悉分析這些附件的技術。目前，建議進行動態分析，因為將樣本放在沙箱中可以提供有關惡意軟件的關鍵信息，包括它連接到的 C2 服務器、進程鏈信息以及數據寫入磁盤然后執行的位置。為了進行更深入的分析，分析師還應該熟悉通常與 OneNote 附件關聯和嵌入其中的各種文件格式，

需要注意的是，只有當接收方使用附件時 ( 特別是通過單擊嵌入的文件并忽略 OneNote 顯示的警告消息 ) ，攻擊才會成功。然而，最好的防御永遠是預防。因此，安全團隊必須更新他們的系統以檢測這些類型的附件，并教育員工下載未知和不受信任的附件的危險。