OneNote 作为恶意软件分发新渠道持续增长

2024-06-18 343 0

目前,Office 文件已经默认禁用宏代码,攻击者开始转向利用其他微软的软件产品来进行恶意 Payload 投递。默认情况下,OneNote 应用也包含在 Office 2019 和 Microsoft 365 软件中,所以 OneNote 文件越来越受到攻击者的青睐。如果有人意外打开恶意 OneNote 文件,就会触发加载恶意 Payload。研究人员发现攻击者在 OneNote 中嵌入恶意脚本或二进制文件,与传统宏代码相比更加灵活。

背景

Microsoft OneNote 是一个数字笔记应用程序,是 Microsoft Office 套件的一部分。OneNote 文件本质上是数字笔记本,其中可以存储各种类型的信息。Microsoft OneNote 还支持用户嵌入外部文件,使用户能够存储视频、图片和可执行文件。当然,微软也阻止某些特定扩展名的嵌入对象,这些扩展名的文件被微软认为是危险的。

攻击者经常通过植入 Payload 来滥用嵌入对象的功能,恶意 OneNote 文件也总是将自身伪装成合法笔记,包含各类图片和按钮。攻击者使用图片来吸引受害者的注意力,攻击者期望毫无戒心的人点击按钮启动恶意 Payload。这种投递方式在 Payload 发送时很受欢迎,利用了人们对合法笔记应用程序的信任。

以下为三种不同类型的恶意 OneNote 文件,包含了不同类型的嵌入图片和按钮。通过将鼠标悬停在虚假按钮上,就可以看到 OneNote 文件中植入的 Payload 位置和类型。

OneNote 作为恶意软件分发新渠道持续增长插图

示例 OneNote 文件

恶意 OneNote 文件要求受害者点击查看按钮以查看“受保护”的文档,点击后即可执行恶意 VBScript 文件。

OneNote 作为恶意软件分发新渠道持续增长插图1

示例 OneNote 文件

OneNote 作为恶意软件分发新渠道持续增长插图2

示例 OneNote 文件

恶意 OneNote 文件中内嵌虚假按钮,这些按钮引诱受害者执行嵌入的 EXE 文件与 Office 97-2003 文件。

方法论

攻击者主要滥用 OneNote 文件进行恶意 Payload 投递,倾向于嵌入特定类型的 Payload:

  • JavaScript
  • VBScript
  • PowerShell
  • HTML(HTA)

尽管文件类型不同,但这些 Payload 通常表现出了相似的行为。恶意 OneNote 文件的明显特征是存在嵌入对象,尽管良性 OneNote 文件也可以包含嵌入对象,但恶意 OneNote 文件几乎总是包含嵌入对象。

微软官方表示,OneNote 中嵌入的文件以 GUID 进行标记,如 {BDE316E7-2665-4511-A4C4-8D4D0B7A9EAC}。该 GUID 表明存在 FileDataStoreObject 对象,GUID 后紧跟着的是文件的大小。

嵌入的文件在 GUID 的 20 字节后,与定义的大小一样长。如下所示,框一为嵌入对象的 GUID 标记、框二为嵌入对象的大小、框三为实际嵌入的对象。

OneNote 作为恶意软件分发新渠道持续增长插图3

嵌入对象

Payload 类型

根据在野攻击统计,攻击者主要使用以下七种类型的文件作为恶意 OneNote 的 Payload:

  • PowerShell
  • VBScript
  • Batch
  • HTA
  • Office 97-2003
  • EXE
  • JavaScript

OneNote 作为恶意软件分发新渠道持续增长插图4

Payload 类型分布

每种 Payload 的平均大小如下所示:

OneNote 作为恶意软件分发新渠道持续增长插图5

平均文件大小

较大的 Payload 往往功能更强大,但攻击者并不经常使用这么大的文件,这会显著增加 OneNote 文件的大小。攻击者肯定倾向于选择更小的文件尺寸,这样可以在投递过程中减少怀疑。

嵌入图片

恶意 OneNote 文件会使用看起来像按钮的图片引诱受害者启动恶意 Payload,每种文件计算了恶意 OneNote 文件中的图片数量以及中位数。

分析数据集中的六千个样本时,研究人员发现只有三个文件没有内嵌图片,其余 99.9% 的恶意 OneNote 文件中都至少包含一个图片。由于几乎所有文件都包含至少一个图片,可以确认 OneNote 样本主要用于网络钓鱼。

OneNote 作为恶意软件分发新渠道持续增长插图6

平均图片数量

如上所示,每种 Payload 文件中图片的中位数为两个,攻击者通常会使用虚假按钮和引人注目的图片来增强网络钓鱼活动的可信度。

内嵌 EXE 文件

业界主要关注的是内嵌 PowerShell 或 HTA 的 OneNote 文件,但嵌入 EXE 的 OneNote 文件较少受到关注。

例如从 OneNote 文件(d48bcca19522af9e11d5ce8890fe0b8daa01f93c95e6a338528892e152a4f63c)中提取到 EXE 文件(92d057720eab41e9c6bb684e834da632ff3d79b1d42e027e761d21967291ca50)。其中 GS:60 证实了研究人员的假设,GS:60 指向 PEB 和 ROR 指令。这表明恶意软件正在对函数使用动态地址解析,并使用哈希进行函数识别。

OneNote 作为恶意软件分发新渠道持续增长插图7

恶意样本

为了了解 Shellcode 并确定动态加载库,通过 x64dbg 进行调试。可以发现,循环中一直重复调用 loc_140004021 函数的一个断点,如下所示:

OneNote 作为恶意软件分发新渠道持续增长插图8

调试过程

WSAStringToAddressA 函数与 WSASocketW 函数表明,Shellcode 正在通过网络传输数据。

OneNote 作为恶意软件分发新渠道持续增长插图9

WSAStringToAddressA 函数

OneNote 作为恶意软件分发新渠道持续增长插图10

WSASpclertW 函数

反向 TCP Shell 是最常见的 Shellcode 类型,在 ws2_32.dll 中设置了断点来确定是否调用了特定函数。发现调用时,拦截传递的参数,通常是 IP 地址与端口号。

OneNote 作为恶意软件分发新渠道持续增长插图11

ws2_32.dll 函数

不出所料,Shellcode 在 connect 函数调用时停止。对 RDX 寄存器的值进行分析后,可以发现 sockaddr_in 结构体如下所示:

OneNote 作为恶意软件分发新渠道持续增长插图12

sockaddr_in 结构体

研究人员对结构体内容进行了反解:

OneNote 作为恶意软件分发新渠道持续增长插图13

解析代码

解析可知,攻击者正在通过 4444 端口进行回连。

OneNote 作为恶意软件分发新渠道持续增长插图14

解析结果

结论

OneNote 作为新兴攻击媒介,比想象中更受欢迎。除了基于脚本的 Downloader 以外,还可以内嵌可执行的载荷。与其他文件类型相同,攻击者也可以使用其进行横向移动。用户应该考虑阻止 OneNote 文件中特定扩展名的内嵌载荷被执行,防止用户掉入攻击者的陷阱。

参考来源

Unit42


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论