01 Microsoft OneNote简介

Microsoft OneNote是Windows旗下的一款文档软件，可以免费下载，包含在Microsoft Office 2019和Microsoft 365中。由于 Microsoft OneNote 默认安装在所有 Microsoft Office/365 产品中，因此即使 Windows 用户不使用该应用程序，它仍然可以打开.one类型文件格式。OneNote恶意邮件通过伪装成 DHL 运输通知、发票、ACH 汇款表格、机械图纸和运输文件等钓鱼邮件，迷惑用户点击。与 Word 和 Excel 不同，前者启动脚本是通过宏，而OneNote 不支持宏，但是OneNote 允许用户将附件插入到文档中，双击该附件时，将启动附件，在不经意间就会中毒。

下图是钓鱼邮件：

 

02  OneNote攻击行为特征及识别方法

 

在Office宏禁用之后，Microsoft OneNote已成为更流行的威胁媒介之一。2022 年，微软在 Office 文档中默认禁用了宏，有效地阻止了现有利用宏的攻击方式。从那时起，攻击者一直在寻找替代方案，到目前为止 ，OneNote成为新的攻击媒介，在众多攻击媒介中也是一种比较受欢迎的。

OneNote的频繁出现，对于用户造成难以预估的损失，但是无论攻击者采用哪种方法，他们都有一个共同点，都需要用户主动点击，来运行带有恶意行为的软件。话虽如此，但还是要提高警惕，切勿点击任何不熟悉的程序尤其是运行通过电子邮件下载的文件。

此次攻击事件中，病毒从远程站点下载恶意软件，并在安装时自动启动脚本，恶意行为实现主要在png文件(其实是修改了文件后缀的dll程序)，其中恶意行为可以自定义。
 

这种类型的恶意攻击行为会包括但不限于：

1. 远程访问受害者的设备以窃取文件

2. 保存浏览器密码

3. 截屏，使用网络摄像头录制视频

4. 使用远程访问木马从受害者的设备中窃取加密货币钱包

5. 通过后门的方式进行计算机的远程控制操作等

6. 严重影响被感染系统性能及安全性，造成信息泄露或远程下载其他恶意文件等操作，危害较大。
 

对于检测OneNote文档是否携带病毒的识别方法如下:

1. 是否是通过邮件附件下载的

2. 双击后是否会弹出不安全的窗口

3. 鼠标移动到点击的位置，点击后是否会出现一个文件的绝对路径

4. 试着移动背景或者其他图片，是否会发现插入的附件文件

5. 满足以上条件，您就可以将该文件放入回收站，然后清空回收站，或者将其交给从事安全工作的专业人员。切记不要发给别人，让别人中招。

 

03  OneNote攻击示例样本分析

 

恶意的OneNote文档打开后背景是一张图片，”Open”也是一张图片，”Opne”图片下面的attachm...是恶意的附件，才是病毒的主体。

如下图所示：

 

其实这里使用了障眼法，用”Open”照片挡住了真正的需要双击才能启动的恶意附件。将”Open图片移动开后，就会见到真正的恶意附件。

如下图所示：

 

提取其中的代码，代码的内容主要分3个部分，第一部分是往注册表里写入混淆的代码；第二部分是修复混淆的代码，下载恶意文件然后执行；第三部分为删除注册表，并且弹出错误信息。

如下图所示：

 

第一部分

第二部分

第三部分

混淆的代码将”50k”替换调就可以看见原来的代码，代码主要使用curl.exe保存在”C:\\ProgramData\\121.png”,通过调用方式”shell.shellexecute("rundll32" "C:\\ProgramData\\121.png,Wind", "", "open", 3);”判断该文件为dll可执行文件而不是png图片文件。

如下图所示：

 

写入注册表，弹错错误信息如下图所示，在执行完后会删除该注册表项。

如下图所示：

 

关于dll文件，因为下载链接已经失效，就不在叙述，大致的攻击流程就是这些。

如下图所示：

 

值得庆幸的是双击该附件的时候会弹出窗口询问是否运行，这里提醒广大朋友注意警惕。

如下图所示：

 

04  江民赤豹反病毒实验室给出的对抗防御措施

1. 不要随意下载运行电子邮件的文件，不要打开不认识的人的文件。如果打开了陌生文件，请不要忽略操作系统或应用程序显示的警告。

2. 如果看到一条警告，指出打开附件或链接可能会损害您的计算机或文件，请不要点击”确认”按钮并关闭应用程序。

3. 如果您认为这可能是合法的电子邮件，请与从事安全工作的人员分享，以帮助您验证文件是否安全。

4. 电子邮件钓鱼手段是老生常谈的问题，对于不明来历的邮件，请保持警惕，切勿下载点击附件文件，江民安全专家提醒广大用户做好防范，警惕钓鱼。

 

05  江民赤豹反病毒实验室介绍

江民赤豹反病毒实验室专注反病毒技术研究，拥有自主研发的文件威胁检测引擎、AI威胁检测引擎、流迭代威胁检测引擎等多款反病毒引擎产品，形成了全平台的恶意代码防御体系，并针对日新月异的网络安全环境，提供安全事件应急响应、恶意代码分析处置等多种安全服务。江民赤豹反病毒实验室致力于提供全面、系统、一体化的网络安全防护，为客户提供强大技术支撑。