Görünüşte zararsız olan Microsoft OneNote dosyası, bilgisayar korsanları tarafından kötü amaçlı yazılım yaymak ve kurumsal ağları ihlal etmek için kullanılan popüler bir dosya biçimi haline geldi. Kötü amaçlı OneNote kimlik avı eklerinin Windows’a bulaşmasını şu şekilde engelleyebilirsiniz.
Kötü amaçlı yazılım dağıtan kimlik avı saldırıları için tercih edilen araç haline gelen Microsoft OneNote dosyalarını nasıl edindiğimize dair biraz arka plan vermek için önce buraya nasıl geldiğimizi açıklamamız gerekiyor.
Tehdit aktörleri, Windows cihazlarına kötü amaçlı yazılım indirip yüklemek için yıllardır Microsoft Word ve Excel belgelerindeki makroları kötüye kullanıyor.
Microsoft nihayet Word ve Excel Office belgelerinde makroları varsayılan olarak devre dışı bıraktıktan sonra, tehdit aktörleri kötü amaçlı yazılım dağıtmak için ISO dosyaları ve parola korumalı ZIP arşivleri gibi daha az kullanılan diğer dosya biçimlerine yönelmeye başladı.
Bir Windows hatası, ISO görüntülerindeki dosyaların Web İşareti (MoTW) güvenlik uyarılarını atlamasına izin verdiğinden ve popüler 7-Zip arşiv yardımcı programı MoTW bayraklarını ZIP arşivlerinden çıkarılan dosyalara yaymadığı için bunlar popüler dosya biçimleriydi.
Ancak, hem 7-Zip hem de Windows bu hataları düzelttikten sonra, bir kullanıcı indirilen ISO ve ZIP dosyalarındaki dosyaları açmaya çalıştığında Windows bir kez daha korkunç güvenlik uyarıları göstermeye başladı ve tehdit aktörlerinin saldırılarda kullanmak üzere başka bir dosya biçimi bulmasına neden oldu.
Kaynak: BleepingComputer
Aralık ortasından bu yana, tehdit aktörleri kötü amaçlı yazılımı dağıtmak için başka bir dosya biçimine – Microsoft OneNote eklerine – yöneldiler.
Neden Microsoft OneNote?
Microsoft OneNote ekleri ‘.bir‘ dosya uzantısına sahiptir ve makrolar veya güvenlik açıkları aracılığıyla kötü amaçlı yazılım dağıtmadıkları için ilginç bir seçimdir.
Bunun yerine, tehdit aktörleri, aşağıda gösterildiği gibi, dosyayı görüntülemek için bir tasarım öğesine ‘çift tıklama’ mesajı içeren korumalı bir belge gibi görünen karmaşık şablonlar oluşturur.
Kaynak: BleepingComputer
Ancak, yukarıdaki ekte göremediğiniz şey, ‘Dosyayı Görüntülemek İçin Çift Tıklayın’, aşağıda gösterildiği gibi, düğme katmanının altında bulunan bir dizi gömülü dosyayı gizlediğidir.
Kaynak: BleepingComputer
Düğmeye çift tıkladığınızda, gömülü dosyaya çift tıklıyorsunuz ve dosyanın başlamasına neden oluyorsunuz.
Katıştırılmış bir dosyaya çift tıklandığında bir güvenlik uyarısı görüntülenirken, Microsoft Office makrolarını kötüye kullanan önceki kimlik avı saldırılarından bildiğimiz gibi, kullanıcılar genellikle uyarıları yok sayar ve dosyanın yine de çalışmasına izin verir.
Ne yazık ki, tam gelişmiş bir fidye yazılımı saldırısında kötü amaçlı bir dosyanın tüm şirket ağı için çalışmasına yanlışlıkla izin verecek tek bir kullanıcıya ihtiyacınız var.
Ve bazı Microsoft OneNote QakBot kampanyalarında olduğu gibi bu teorik değildir, güvenlik araştırmacıları bunların nihayetinde bir fidye yazılımı saldırısına yol açtığını bulmuşlardır. BlackBasta gibigüvenliği ihlal edilmiş bir ağda.
Kötü amaçlı Microsoft OneNote dosyaları nasıl engellenir?
Kötü amaçlı Microsoft OneNote eklerinin Windows’a bulaşmasını önlemenin en iyi yolu ‘.bir‘ dosya uzantısını güvenli posta ağ geçitlerinizde veya posta sunucularınızda.
Ancak, ortamınız için bu mümkün değilse, Microsoft OneNote dosyalarındaki katıştırılmış dosya eklerinin başlatılmasını kısıtlamak için Microsoft Office grup ilkelerini de kullanabilirsiniz.
Öncelikle, Microsoft OneNote ilkelerini kullanmaya başlamak için Microsoft 365/Microsoft Office grup ilkesi şablonlarını yükleyin.
Artık ilkeler yüklendiğine göre, aşağıda gösterildiği gibi ‘Gömülü dosyaları devre dışı bırak’ ve ‘Gömülü Dosyalar Engellenen Uzantıları’ adlı yeni Microsoft OneNote ilkelerini bulacaksınız.
Kaynak: BleepingComputer
‘Gömülü dosyaları devre dışı bırak‘ grup ilkesi, tüm yerleşik OneNote dosyalarının başlatılmasını engellediği için en kısıtlayıcıdır. Katıştırılmış OneNote eklerini kullanmak için bir kullanım durumunuz yoksa bu seçeneği etkinleştirmelisiniz.
Grup ilkesi açıklamasında “Dosyaları bir OneNote sayfasına gömme özelliğini devre dışı bırakmak için, böylece insanlar virüsten koruma yazılımı vb.
Kaynak: BleepingComputer
Etkinleştirildiğinde, aşağıdaki Windows Kayıt Defteri anahtarı oluşturulacaktır. Yolların, Microsoft Office sürümünüze bağlı olarak değişebileceğini unutmayın.
Windows Kayıt Defteri Düzenleyicisi Sürüm 5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options]
“gömülü dosyaları devre dışı bırak”=dword:00000001
Artık bir kullanıcı bir Microsoft OneNote belgesine katıştırılmış herhangi bir eki açmaya çalıştığında aşağıdaki hatayı alacak.
Kaynak: BleepingComputer
Daha az kısıtlayıcı, ancak potansiyel olarak daha güvensiz bir seçenek, “Gömülü Dosyalar Engellenen UzantılarMicrosoft OneNote belgesinde açılması engellenecek katıştırılmış dosya uzantılarının bir listesini girmenize izin veren grup ilkesi.
“Kuruluşunuzdaki kullanıcıların bir Microsoft OneNote sayfasından belirli bir dosya türündeki dosya ekini açabilmelerini devre dışı bırakmak için, devre dışı bırakmak istediğiniz uzantıları şu biçimi kullanarak ekleyin: ‘.ext1;.ext2;’, ” politika açıklamasını okur.
“Bir OneNote sayfasından herhangi bir ekin açılmasını devre dışı bırakmak istiyorsanız, Gömülü dosyaları devre dışı bırak ilkesine bakın. Bu ilkeyle katıştırılmış ses ve video kayıtlarını (WMA ve WMV) engelleyemezsiniz, bunun yerine Gömülü dosyaları devre dışı bırak ilkesine bakın.”
Kaynak: BleepingComputer
Etkinleştirildiğinde, girdiğiniz engellenen uzantıların listesiyle aşağıdaki Windows Kayıt Defteri anahtarı oluşturulacaktır.
Windows Kayıt Defteri Düzenleyicisi Sürüm 5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options\embeddedfileopenoptions]
“blockedextensions”=”.js;.exe;.bat;.vbs;.com;.scr;.cmd;.ps1″
Artık bir kullanıcı Microsoft OneNote belgesinde engellenen bir dosya uzantısını açmaya çalıştığında aşağıdaki hatayı alacak.
Kaynak: BleepingComputer
Engellenmesi önerilen bazı dosya uzantıları şunlardır: .js, .exe, .com, .cmd, .scr, .ps1, .vbsVe .bağlantı. Ancak, tehdit aktörleri kötüye kullanılacak yeni dosya uzantıları keşfettikçe, bu liste diğer kötü amaçlı dosya türleri tarafından atlanabilir.
Herhangi bir dosya türünü engellemek, ortamın gereksinimleri nedeniyle her zaman mükemmel bir çözüm olmasa da, Microsoft OneNote dosyalarının kötüye kullanımını kısıtlamak için hiçbir şey yapmamanın sonuçları daha da kötü olabilir.
Bu nedenle, bir siber saldırıyı önlemek için ortamınızda OneNote eklerinin veya en azından gömülü dosya türlerinin kötüye kullanılmasının engellenmesi şiddetle tavsiye edilir.