隨著微軟默認禁用宏代碼策略的生效,越來越多的攻擊者開始使用 OneNote 文檔來分發惡意軟件。本文介紹了幾個使用 OneNote 文檔的案例,展示了攻擊者如何使用該類文件進行攻擊。
為什么選擇 OneNote
由于 OneNote 使用范圍很廣、用戶對該類文件缺乏安全意識和保護措施,OneNote 文檔對于攻擊者來說已經成為越來越有吸引力的攻擊載體。攻擊者利用混淆內容與 OneNote 的受信任身份來進行攻擊,這種轉變的具體原因包括:
- 安全措施的增強:由于對基于宏代碼的攻擊認識不斷提高,許多組織已經采取了很多措施來阻止此類攻擊。2022 年 7 月,微軟正式宣布在所有 office 應用程序上默認禁用宏代碼,這使得惡意軟件分發的可靠性下降。
- OneNote 的廣泛使用:OneNote 作為廣泛使用的應用程序,并且能夠嵌入不同類型的內容。OneNote 預裝在所有 Office 程序的安裝程序中,這意味著即使用戶并不使用 OneNote 也可以利用該類文件進行攻擊。
- 缺乏安全意識:OneNote 的攻擊并不像基于宏代碼的攻擊那樣廣為人知,組織可能并沒有足夠的安全措施來預防此類攻擊。
- 規避技術:windows 會對從互聯網下載的文件進行 Web 標記,但 OneNote 并不會受此影響。攻擊者可以嵌入可執行文件或者啟用宏代碼的文檔,這都不會觸發系統的安全告警。
- 受信任的應用程序:由于 OneNote 是受信任的應用程序,用戶很容易上當。并且,OneNote 也更容易與其他微軟的產品(如 Office、OneDrive 等)進行集成。
ThreatLabz 的安全研究員 Niraj 開發了名為 OneNoteAnalyzer 的分析工具,可以大大加快分析效率。
OneNoteAnalyzer 分析工具
遠控木馬
從 2022 年 12 月開始,攻擊者一直在使用 OneNote 文件分發遠控木馬,例如 AsyncRAT、Quasar RAT?.NETWire 和 Xworm。這些攻擊中,OneNote 文件都使用了復雜的混淆技術,逃避安全軟件的檢測。
在調查過程中,研究人員發現文件被命名為 PaymentAdv.one:
釣魚文檔
使用 OneNoteAnalyzer 分析該文件后,攻擊時通過釋放并執行名為 zoo1.bat 的批處理文件進行的:
提取的惡意文件
批處理文件經過混淆,并且包含一個加密的數據塊,隨后是高度混淆的 PowerShell 代碼。
混淆的批處理文件
研究人員解析文件,如下所示:
執行的命令
日志顯示批處理文件復制并偽裝惡意樣本名為 zoo1.bat.exe,以試圖隱藏其活動。與之相關的 Powershell 代碼也經過了混淆并且難以理解,研究人員手動進行格式化后如下所示:
可讀的 PowerShell 代碼
去混淆后,研究人員發現該腳本使用 base64 編碼將加密數據塊拆分成 AES 密鑰等數據。使用這些數據,腳本就可以解密數據并使用 gzip 解碼最終的可執行文件。
識別 AES 密鑰
使用 CyberChef 進行處理:
使用 CyberChef 提取 Payload
同樣的也可以處理第二個加密塊,也會還原成 PE 文件。
AgileDotNet 加殼的 AsyncRAT
生成的文件是一個使用 AgileDotNet 的 .NET 文件,使用 de4dot 進行反混淆后可以發現是遠控木馬 AsyncRAT。
銀行木馬
從 2023 年 1 月開始,Qakbot 開始嘗試使用 OneNote 作為惡意軟件傳播的載體。后續 IcedID 也加入進來,使用帶有嵌入式 html 應用程序的 OneNote 文件進行攻擊。
IceID 的分發攻擊鏈如下所示:
IceID 攻擊鏈
攻擊者的釣魚郵件中包含一個名為 unpaid_4178-February-03.one 的附件,其中包含一個虛假 Microsoft 365 頁面,欺騙用戶雙擊查看云附件觸發感染。
偽造頁面
用戶點擊查看時,會在后臺將 .HTA 文件放入失陷主機的 Temp 目錄。觸發下載 IcedID 惡意軟件與名為 invoice.pdf 的誘餌 PDF 文件,后者名為虛假發-票文檔。
HTA 文件執行
執行進程樹
下載并執行 PowerShell 腳本,會下載 Cobalt Strike 的 DLL 文件。這種行為類似于之前的 IcedID 和 Qakbot 變種,大約在 45 分鐘后使用 Cobalt Strike 感染系統。
下載 Cobalt Strike
Qakbot 也是在點擊 OneNote 文件后,HTA 文件利用 JAVAScript 代碼對其中的混淆數據進行去混淆處理。之后,通過 VBScript 代碼創建一個注冊表項并將去混淆的數據存儲在其中。單獨的 JavaScript 代碼創建一個 WshShell 對象并通過 curl 下載 Qakbot。
Qakbot OneNote 混淆
最新的 OneNote Qakbot 樣本改變了它們的執行流程,從 HTA 改用 CMD 命令。
新的執行邏輯
信息竊密木馬
Redline 是信息竊密類木馬中積極使用 OneNote 文件進行分發的代表,如下所示:
釣魚文檔
使用 onedump.py 分析后,可以發現多個數據塊。其中包含隱藏代碼的 HTML 文件,有兩個文件使用 URL 編碼進行混淆。CyberChef 解碼后可以看出是 VBScript 腳本,會進一步下載并執行其他 Payload:
解碼 Payload
第三個文件是經過多層混淆的二進制文件,分別是 URL 編碼、base64 編碼、gzip 編碼。解碼后輸出的是 PowerShell 文件路徑,會在后面的執行階段使用。
解碼腳本
文件為使用 pureCrypter 加密的 .NET 文件,通過分析可以確定為 Redline,其配置信息為:
{ "C2 url": [ "194.26.192.248:7053" ], "Bot Id": "cheat" }
進一步分析樣本是通過 Telegram 群組 NET_PA1N Reborn 進行分發的,該群組是惡意軟件即服務(MaaS)的運營商。該團伙出售名為 Youhacker Crypter、Youhacker Stealer 的竊密木馬與遠控木馬。
Telegram 群組
售賣惡意軟件
總結
各類惡意軟件已經開始將 OneNote 文件加入武器庫中,預計未來此類攻擊仍然會繼續增多。提醒用戶注意安全防護,并且提高安全意識。
參考:https://www.zscaler.com/blogs/security-research/onenote-growing-threat-malware-distribution
from https://www.freebuf.com/articles/network/359799.html
