OneNote belgeleri, yeni bir kötü amaçlı yazılım bulaşma vektörü olarak ortaya çıktı


[ This article was originally published here ]

Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.

giriş

Şubat 2022’de Microsoft, kötü amaçlı yazılım dağıtım yöntemi olarak sık kullanımları nedeniyle belgeleri devre dışı bıraktı. Bu hareket, kötü amaçlı yazılım yazarlarını yüklerini dağıtmak için yeni yollar aramaya sevk etti ve bu da parolayla şifrelenmiş zip dosyaları ve ISO dosyaları gibi diğer bulaşma vektörlerinin kullanımında bir artışa neden oldu.

OneNote belgeleri, belgeyle etkileşim kurulduğunda yürütülen kötü amaçlı kod içeren yeni bir bulaşma vektörü olarak ortaya çıktı. Emotet ve Qakbot, diğer üst düzey hırsızlar ve şifreleyiciler arasında, OneNote eklerini kullanan bilinen kötü amaçlı yazılım tehditleridir.

Araştırmacılar şu anda bu OneNote eklerinin bir virüs bulaşma aracı olarak kullanılmasını tespit etmek ve önlemek için yeni araçlar ve analiz stratejileri geliştiriyorlar. Bu makale, bu yeni gelişmeyi vurgulamakta ve kötü niyetli aktörlerin bir sistemin güvenliğini aşmak için kullandıkları teknikleri tartışmaktadır.

Saldırı zinciri

VBA makrolarının devre dışı bırakılmasıyla tehdit aktörleri, bir uç noktaya kötü amaçlı yazılım yüklemenin yeni bir yolu olarak OneNote eklerini kullanmaya yöneldi. OneNote ekleri, kötü niyetli aktörler tarafından istismar edilebilecek HTML, ISO ve JScripts gibi katıştırılmış dosya biçimleri içerebilir. OneNote ekleri, etkileşimli oldukları ve yalnızca görüntülenmek yerine üzerine eklenecek ve etkileşim kurulacak şekilde tasarlandıkları için saldırganlar için özellikle caziptir. Bu, kötü niyetli aktörlerin cezbedici mesajlar ve bulaşmaya yol açabilecek tıklanabilir düğmeler eklemesini kolaylaştırır. Sonuç olarak, kullanıcılar, zararsız görünseler bile OneNote ekleriyle etkileşim kurarken dikkatli olmalıdır. Güncellenmiş güvenlik yazılımı kullanmak ve etkileşimli dosyalarla ilişkili potansiyel risklerin farkında olmak çok önemlidir.

E-posta – Sosyal mühendislik

Çoğu kötü amaçlı yazılım yazarı gibi, saldırganlar da genellikle kurbanlarla ilk iletişim noktası olarak e-postayı kullanır. Kurbanları programı açmaya ve iş istasyonlarında kodu çalıştırmaya ikna etmek için sosyal mühendislik teknikleri kullanıyorlar.

kimlik avı e-postası OneNote

Yakın tarihli bir kimlik avı girişiminde, saldırgan güvenilir bir kaynaktan geliyormuş gibi görünen bir e-posta gönderdi ve alıcıdan bir OneNote eki indirmesini istedi. Ancak eki açtıktan sonra kod beklendiği gibi otomatik olarak güncellenmedi. Bunun yerine, kurbana potansiyel olarak tehlikeli bir bilgi istemi sunuldu.

OneNote'u aç

Bu durumda, birçok OneNote ekinde olduğu gibi, kötü niyetli aktör, kullanıcının belgede sunulan ve kodu yürüten “Aç” düğmesine tıklamasını amaçlar. Geleneksel güvenlik araçları, bu tür tehditleri tespit etmede etkili değildir.

OneNote ekleri de dahil olmak üzere Microsoft Office belgelerini analiz etmek için kullanılabilecek araçlardan biri Oletools’tur. Paket, kötü niyetli kodu tespit etme ve analiz etmede yardımcı olabilecek komut satırı çalıştırılabilir olevba’yı içerir.

OneNote hatası

Aracı OneNote ekinde çalıştırmaya çalışırken bir hata oluştu. Sonuç olarak, analizin odağı dinamik bir yaklaşıma doğru kaydı. Belgeyi bir korumalı alana yerleştirerek, yürütülebilir veya DLL dosyasını indirmek ve çalıştırmak için yürütülen ve fidye yazılımı, hırsızlar ve siliciler gibi daha ciddi enfeksiyonlara neden olan bir dizi komut dosyası keşfettik.

OneNote korumalı alanı

Taktikler ve teknikler

Bu özel kampanya, Windows aracı screnc.exe’yi kullanarak kodlarını gizlemek için kodlanmış JScript verilerini kullanır. Kodlanmış biçimdeyken Open.jse dosyası okunamaz.

OneNote jscript'i

JScript dosyasının kodu çözüldükten sonra, bir .bat dosyası için bir damlalık bulundu. Yürütüldüğünde, .bat dosyası, 198 IP adresiyle iletişim kuran bir PowerShell örneği başlatır.[.]44[.]140[.]32.

IP bağlantısı

Çözüm

Sürekli gelişen tehdit ortamıyla etkili bir şekilde mücadele etmek için analistlerin kötü amaçlı yazılım yazarları tarafından kullanılan en son saldırı stratejilerinden haberdar olması çok önemlidir. Sistemler, bu tür ataşmanların uygun temizleme ve kontrolleri atlamasını önlemek için uygun şekilde yapılandırılmazsa, bu yaklaşımlar algılamayı engelleyebilir. Bu nedenle, analistlerin bu takıntıları analiz etme tekniklerine aşina olmaları çok önemlidir. Bir örneği bir korumalı alana yerleştirmek, bağlandığı C2 sunucuları, işlem zinciri bilgileri ve verilerin diske yazıldığı ve ardından yürütüldüğü yer dahil olmak üzere kötü amaçlı yazılım hakkında kritik bilgiler sağlayabildiğinden, şu anda dinamik analiz önerilir. Daha derinlemesine analiz için analistler, kodlanmış JSE dosyaları, htm belgeleri ve ISO’lar gibi genellikle OneNote ekleriyle ilişkilendirilen ve bunlara gömülen çeşitli dosya biçimlerine de aşina olmalıdır.

Ancak, en iyi savunma her zaman önlemedir. Bu nedenle güvenlik ekipleri, bu tür ekleri tespit etmek için sistemlerini güncellemeli ve çalışanları bilinmeyen ve güvenilmeyen ekleri indirmenin tehlikeleri konusunda eğitmelidir.

reklam



Source link