详细内容或原文请订阅后点击阅览
OneNote 嵌入式文件滥用
最近几周,OneNote 引起了媒体的广泛关注,因为威胁行为者在他们的网络钓鱼活动中滥用 OneNote 中的嵌入式文件功能。在这篇文章中,我们将分析这种新的恶意软件传递方式并为其创建检测规则。
来源:NVISO Labs _恶意软件媒体中的 OneNote
最近几周,OneNote 引起了媒体的广泛关注,因为威胁行为者在网络钓鱼活动中滥用 OneNote 中的嵌入文件功能。我首先通过 Didier 的帖子在媒体上观察到这种 OneNote 滥用行为。后来,Xavier 的 ISC 日记和播客中也提到了这一点。后来,在二月初,黑客新闻也报道了这一点。
帖子 ISC 日记 播客 黑客新闻攻击技术
在这些网络钓鱼活动中被滥用的 OneNote 功能是将嵌入文件隐藏在图片后面,诱使用户点击图片。如果点击图片,它将执行隐藏在下面的文件。这些文件可能是可执行文件、JavaScript 文件、HTML 文件、PowerShell……基本上是任何可以在执行时执行恶意软件的文件类型。最近,我们还观察到 .chm 文件的使用情况,其中嵌入了可运行内联 JavaScript 的 index.html 文件。在 Windows 系统上,这大致相当于执行脚本/文件的以下任一进程:“powershell.exe”、“pwsh.exe”、“wscript.exe”、“cscript.exe”、“mshta.exe”、“cmd.exe”、“hh.exe”。
.chm
index.html
'powershell.exe', 'pwsh.exe', 'wscript.exe', 'cscript.exe', 'mshta.exe', 'cmd.exe', 'hh.exe'
OneNote 文件剖析
博客文章 GUID{BDE316E7-2665-4511-A4C4-8D4D0B7A9EAC}
工具
e716e3bd65261145a4c48d4d0b7a9eac
E7 16 E3 BD 65 26 11 45 A4 C4 8D 4D 0B 7A 9E AC ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 00 00 00 00 00 00
.one
.onepkg
.onepkg
.one
这意味着我们可以在分析这些文件时轻松检查已知的误报,这将我带到下一点,创建检测规则。
YARA 规则
00
??
??
GitHub
DissectMalware
喜欢