01.Microsoft OneNote简介

Microsoft OneNote是Windows旗下的一款文档软件，可以免费下载，包含在Microsoft Office 2019和Microsoft 365中。由于 Microsoft OneNote 默认安装在所有 Microsoft Office/365 产品中，因此即使 Windows 用户不使用该应用程序，它仍然可以打开.one类型文件格式。OneNote恶意邮件通过伪装成 DHL 运输通知、发票、ACH 汇款表格、机械图纸和运输文件等钓鱼邮件，迷惑用户点击。

与 Word 和 Excel 不同，前者启动脚本是通过宏，而OneNote 不支持宏，但是OneNote 允许用户将附件插入到文档中，双击该附件时，将启动附件，在不经意间就会中毒。

下图是钓鱼邮件：

02 .OneNote攻击行为特征及识别方法

在Office宏禁用之后，Microsoft OneNote已成为更流行的威胁媒介之一。2022 年，微软在 Office 文档中默认禁用了宏，有效地阻止了现有利用宏的攻击方式。从那时起，攻击者一直在寻找替代方案，到目前为止 ，OneNote成为新的攻击媒介，在众多攻击媒介中也是一种比较受欢迎的。

OneNote的频繁出现，对于用户造成难以预估的损失，但是无论攻击者采用哪种方法，他们都有一个共同点，都需要用户主动点击，来运行带有恶意行为的软件。话虽如此，但还是要提高警惕，切勿点击任何不熟悉的程序尤其是运行通过电子邮件下载的文件。

此次攻击事件中，病毒从远程站点下载恶意软件，并在安装时自动启动脚本，恶意行为实现主要在png文件(其实是修改了文件后缀的dll程序)，其中恶意行为可以自定义。

这种类型的恶意攻击行为会包括但不限于：

1. 远程访问受害者的设备以窃取文件

2. 保存浏览器密码

3. 截屏，使用网络摄像头录制视频

4. 使用远程访问木马从受害者的设备中窃取加密货币钱包

5. 通过后门的方式进行计算机的远程控制操作等

6. 严重影响被感染系统性能及安全性，造成信息泄露或远程下载其他恶意文件等操作，危害较大。

对于检测OneNote文档是否携带病毒的识别方法如下:

1. 是否是通过邮件附件下载的

2. 双击后是否会弹出不安全的窗口

3. 鼠标移动到点击的位置，点击后是否会出现一个文件的绝对路径

4. 试着移动背景或者其他图片，是否会发现插入的附件文件

5. 满足以上条件，您就可以将该文件放入回收站，然后清空回收站，或者将其交给从事安全工作的专业人员。切记不要发给别人，让别人中招。

03. OneNote攻击示例样本分析

恶意的OneNote文档打开后背景是一张图片，”Open”也是一张图片，”Opne”图片下面的attachm...是恶意的附件，才是病毒的主体。

如下图所示：

其实这里使用了障眼法，用”Open”照片挡住了真正的需要双击才能启动的恶意附件。将”Open图片移动开后，就会见到真正的恶意附件。

如下图所示：

提取其中的代码，代码的内容主要分3个部分，第一部分是往注册表里写入混淆的代码；第二部分是修复混淆的代码，下载恶意文件然后执行；第三部分为删除注册表，并且弹出错误信息。

如下图所示：

第一部分

第二部分

第三部分

混淆的代码将”50k”替换调就可以看见原来的代码，代码主要使用curl.exe保存在”C:\\ProgramData\\121.png”,通过调用方式”shell.shellexecute("rundll32" "C:\\ProgramData\\121.png,Wind", "", "open", 3);”判断该文件为dll可执行文件而不是png图片文件。

如下图所示：

写入注册表，弹错错误信息如下图所示，在执行完后会删除该注册表项。

如下图所示：

关于dll文件，因为下载链接已经失效，就不在叙述，大致的攻击流程就是这些。

如下图所示：

值得庆幸的是双击该附件的时候会弹出窗口询问是否运行，这里提醒广大朋友注意警惕。

如下图所示：

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)