Microsoft OneNote 是一种文件类型,现在根深蒂固地存在于对手利用的滥用文件格式的持续传奇中,这些文件格式通过防御并向最终用户提供恶意软件有效负载。最近,我们看到OneNote突然崛起,遵循以相同容量使用的其他类型的文件的模式。以下是我们对威胁形势各个方面的见解,以及组织应考虑保护用户及其数据的提示。
OneNote 作为威胁载体的起源
Microsoft OneNote 是包含在 Microsoft Office 套件中的数字笔记本应用程序。它也在办公室外免费提供。它是一种灵活的文档格式,用于管理从文本到图像的内容,重要的是,它允许以附件的形式嵌入任意文件内容。正是这种品质使其对对手具有吸引力。在过去的几周内,许多攻击者已经转向在网络钓鱼电子邮件中使用OneNote附件。虽然与其他类型的文件格式(如 RTF 或 Open Office XML 文档)不同,其中代码执行是通过漏洞利用或宏进行的,但它在威胁空间中的当前角色就像用于传递恶意文件的信封。这是现代收集固有低风险文件类型的一个很好的例子,这些文件类型是良性威胁载体,只是打包和交付武器化内容。
以这种能力利用 OneNote 的早期发现之一由 Emeric Nasi 于 August 2022 发布。具有讽刺意味的是,作者很好地总结了这种情况;OneNote 被防御者忽视的原因可能与红队长期以来忽视它的原因相同,因为我们专注于宏和文件载体中的直接代码执行方式:
OneNote是Office套件组件之一,在RedTeaming时经常被忽略。尽管 OneNote 无法执行 VBA 宏,但它具有作为初始向量的重要网络钓鱼潜力。
到12月初,对手也注意到了这一点,因为Trustwave记录了使用OneNote载体传播的FormBook恶意软件。此后,这一趋势加速了,OneNote 文档滥用的报告一直持续到 12 月、1 月,现在一直持续到 2 月。
InQuest 的遥测和其他关于 OneNote 观察结果的公开报告显示,它已被许多恶意软件威胁和分发组的交付链中出现,包括:
- Agent Tesla
- AsyncRAT
- DOUBLEBACK
- FormBook
- IcedID
- NetWire RAT
- Qakbot
- QuasarRAT
- RedLine Stealer
- Remcos RAT
- TR (TA577)
- XWorm
为什么选择 OneNote?
如前所述,OneNote 主要是一个个人笔记本应用程序,没有其他文档格式的通常功能,这些功能使它们对许多对手具有吸引力(宏支持)。那么,当存在其他格式并且通常以相同的容量使用时,为什么 OneNote 对对手具有吸引力呢?显而易见的原因是,能够使用另一种文件类型作为信封来携带文件通过现有防御,为对手提供了一种新的规避方法。如果防御侧重于以前已知的威胁载体,则 OneNote 文档看起来是良性的,尤其是在防御无法检查文件的内部嵌入内容的情况下。这延续了前面提到的文件类型观察到的趋势。例如,对 ISO、IMG、VHD 和 VHDX 文件的滥用有所增加,因为发现嵌入文件没有保留 MOTW(Web 标记;用于将文件标记为来自不受信任来源的 Windows 机制),从而实现防御规避和更成功的恶意软件分发活动。OneNote文档也可以为攻击者提供另一个优势,因为微软努力阻止Office文档中的外部宏。通过将威胁载体格式从 Word 或 Excel 转换为 OneNote,并将宏代码交换为社会工程诱饵,可以绕过某些缓解措施。
对社会工程的强调是值得注意的。随着行业提高漏洞利用和代码执行的标准,威胁参与者被迫退回到直接与用户交互以实现初始访问。虽然安全意识培训在企业安全计划中仍然司空见惯,但呈现具有令人信服的社会工程诱惑的文档通常足以成功进行攻击。
另一个因素是先发优势;每当威胁参与者拥有相对较新的技术时,他们都能够在防御者发现、分析和重新装备威胁之前的一段时间内有效地利用该技术。这个初始时间段足以提供有影响力的活动,同时重构并为未来的活动添加改进,同时防御者争先恐后地达到基线。许多常见的防御控制可以在早期绕过;例如,邮件网关上尚未阻止具有特征文件扩展名的附件,并且终端安全软件可以绕过,因为尚未针对新兴威胁类型开发签名和检测分析。
此外,从标准文件标识实用程序的分析工具的角度来看,OneNote 的情况出奇地复杂:
% file –mime-type agreement.one
agreement.one: application/x-tar
% exiftool agreement.one
错误:未知文件类型
如上所示,OneNote文件可能被libmagic识别为tar存档,而支持大量文件格式的ExifTool无法识别它。在 2023 年,普通的文件识别工具不熟悉与 OneNote 一样存在的时间(当前格式标准自 2010 年以来一直存在)的文件类型,这有点出乎意料。毕竟,OneNote文档格式是一种开放标准,该应用程序是著名的生产力软件套件(Microsoft Office)的主要内容。然而,尽管这种普遍存在,但在当前趋势开始时,分析文件样本所需的许多标准工具并不存在。
为了说明此类工具开发可能发生的时间表,我们列出了导致各种工具项目发布的事件的一些日期。附录中提供了这些项目的链接。
| 日期 | 日 | 释放 |
| 2022-12-08 | 1 | 信任波发布表单簿活动信息 |
| 2023-01-17 | 40 | @knight0x07发布 OneNoteAnalyzer |
| 2023-01-20 | 43 | Volexity 发布 OneNoteExtractor |
| 2023-01-22 | 45 | 迪迪埃·史蒂文斯发布 onedump.py |
| 2023-01-30 | 53 | Matt Green发布Windows.Detection.Onenote for Velociraptor。 |
| 2023-02-03 | 57 | Target 在 Strelka 中合并 ScanOnenote |
| 2023-02-11 | 65 | Malwrlogist发布pyOneNote |
如果我们查看开源 OneNote 分析器的历史,就会发现分析文件格式的努力在几年前就已经进行了:
- 2016-12-22 https://issues.apache.org/jira/browse/TIKA-2224
- OneNote 格式支持 – Mime Magic和解析器
- 2017-02-10 https://github.com/dropbox/onenote-parser
- 基于C++的解析器
- 2019-11-17 https://github.com/nddipiazza/onenote-parser-java
- 基于 Java 的解析器
- 2019-12-12 https://github.com/apache/tika/pull/303
- OneNoteParser
- Apache Tika解析器能够解析Microsoft OneNote文件
- 2020-09-09 https://github.com/msiemens/onenote.rs
- 一个 Rust OneNote 文件解析器
检查恶意 OneNote 文档
现在,我们已经查看了恶意文件载体在威胁环境中的轨迹以及 OneNote 的当前状况,让我们从高级别检查一个示例文件。虽然不同的威胁活动正在进行中,并且每个攻击活动都使用不同的技术来丢弃和执行最终有效负载,但一般方法通常是同一事物的变体:
- 提供可信的诱饵,说服用户从受信任的服务打开附件。
- 包括放置在附件前面的交互图像。
- 嵌入式有效负载通常是某种形式的可执行内容,范围从直接 EXE 文件到批处理脚本、HTA 文件、VBS 脚本或 WSF 脚本文件。
查看上面的描述,我们看到 OneNote 运营商或多或少地重用了近年来看到的相同的社会工程辅助方法来吸引用户执行内容。
转到示例:
660870c3f3e8ff105e5cc06b3b3d04436118fc67533c93d0df56bde359e335d0
本文档包含四个嵌入式文件;3 个是组成上面显示的假对话框的图像,一个是位于“打开”按钮图像后面的编码 JScript 文件。当用户双击隐藏文件时,将调用本文档中的有效负载,提示用户确认并执行脚本。这是解码的脚本文件:
十六进制字符串被解码并写出到磁盘执行。它是一个批处理脚本,用于使用 PowerShell 从远程站点获取有效负载 DLL,并使用 rundll32.exe 调用。
在这些活动中,我们观察到Qakbot和IcedID的分布,两者都被初始访问代理用作恶意软件加载程序平台。值得注意的是,我们看到这里使用的托管服务器是众多犯罪软件威胁大量利用的基础架构的一部分:
77.91.122.13 AS44477 |国标 |斯塔克工业
AS44477 STARK-INDUSTRIES在防弹托管空间中连接,与MoreneHost,PQ Hosting和IronHost等服务集群。在这个托管生态系统中,我们在过去三年中提到了许多突出的网络犯罪威胁,包括Bluefox窃取者,DanaBot,DarkSide勒索软件,FIN2,MirrorBlast,Panda Banker和Vidar窃取者的恶意软件暂存和/或C7托管,以及儿童剥削材料,凭证商店和网络钓鱼网站。还有指向其他犯罪托管服务的链接,包括BraZZZerS和g-hosting(g-host[.]。顶部)。以这个生态系统为背景,鱼叉式网络钓鱼和恶意软件传递的最新发展也就不足为奇了,这为评估提供了信心,即 OneNote 滥用现已在知名行为者群体中建立起来。我们认为,根据从正在进行的战役样本中观察到的文物,很可能正在使用一个或多个构建器来制作武器化文件:
如何保护您的组织免受恶意 OneNote 文档的侵害
也就是说,您现在可以采取一些明确的步骤来大幅降低受害的几率:
首先,教育您的用户了解常见的网络钓鱼技术,并促进轻松报告可疑电子邮件。预防控制可能会失败或被绕过。在技术行业解决降低日常应用程序和系统对最终用户构成威胁的可能性的问题之前,受过教育和警惕的个人可以识别并打破攻击链。
其次,确保您的安全防御是最新的,并采取了对策来检测此处概述的威胁。由于 OneNote 在许多生产环境中并不常用,因此在通过电子邮件传送时阻止和隔离这些文件对于大多数网络来说可能是一种简单有效的解决方案。
在部署缓解措施时,威胁参与者可以相当快地转向其他方法和策略。公司应保持分层防御态势,并利用能够检测上述每个攻击阶段的检测和响应解决方案。您不必依赖拼凑的方法来检测和中断这些攻击链步骤。市场上有一些解决方案可以代表您无缝地执行此操作。
在 InQuest,我们开发了文件检测和响应 (FDR),以便在潜在事件的交付阶段早期识别威胁。我们的 FDR 专门配备了对策,例如威胁检测引擎 (YARA)、机器学习、恶意软件检测引擎,以及信誉和垃圾邮件分数,可以检测、警报和/或对整个攻击链上的活动采取策略操作 – 从初始向量(电子邮件),到每个交付阶段,一直到有效载荷下降。以下是对策的高级概述:
让我们帮助您回答有关 OneNote 威胁、大型武器化载体或涉及文件和最终用户交互的其他形式的最终用户安全攻击的问题。今天就联系我们。
附录
社区来源的 OneNote 分析工具
| 工具 | 源 | 描述 |
| one-extract | Volexity | 从OneNote文件中提取文件和元数据的实用程序,Python |
| onedump.py | Didier Stevens | 测试版实用程序,用于分析和提取OneNote文件,Python |
| OneNoteAnalyzer | neeraj/knight0x07 | 基于 C# 的工具,用于分析恶意 OneNote 文档 |
| Windows.Detection.Onenote | Matt Green | 迅猛龙神器支持 |
| pyOneNote | Malwrologist | OneNote 文件分析器,Python |
| ScanOnenote | Target | Onenote file analyzer for Strelka |
OneNote 文件格式参考
分析师和检测工程师会发现,手头有与识别和分析 OneNote 文件相关的方面很有帮助。我们感谢工具开发人员和研究人员社区,他们帮助分享了这些信息!
已知文件扩展名:
- .one:OneNote 文档文件
- .onepkg:OneNote 包 – 捆绑多个 OneNote 文档的 CAB 存档
- .onetoc2:OneNote TOC 索引元数据存储,存储项目的顺序
文件格式规范:
- [MS-ONE]: OneNote 文件格式
- [MS-ONESTORE]:OneNote 修订存储文件格式
记录的与 OneNote 文件格式关联的魔术 GUID:
- 文件头:
- {7B5C52E4-D88C-4DA7-AEB1-5378D02996D3}
- 文件数据存储对象:
- {BDE316E7-2665-4511-A4C4-8D4D0B7A9EAC}
- “文件魔术”,基本上与文件头 GUID 第一部分的字节匹配:
- uint32be(0) == 0xE4525C7B
指标
InQuest 正在共享一组来自我们数据集的 OneNote 文件哈希和示例:
https://github.com/InQuest/malware-samples/tree/master/2023-02-OneNote
亚拉规则
InQuest在VirusTotal中发布了YARA规则,以帮助标记和搜寻可疑的OneNote文件:
https://github.com/InQuest/yara-rules-vt/blob/main/Microsoft_OneNote_with_Suspicious_String.yar