恶意软件现在分布在OneNote文件中以逃避防御
Emotet 恶意软件现在使用 Microsoft OneNote 电子邮件附件进行分发,旨在绕过 Microsoft 安全限制并感染更多目标。
Emotet 是一个臭名昭著的恶意软件僵尸网络,过去通过包含恶意宏的 Microsoft Word 和 Excel 附件进行分发。
如果用户打开附件并启用宏,将下载并执行一个 DLL,在设备上安装 Emotet 恶意软件。
加载后,恶意软件将窃取电子邮件联系人和电子邮件内容,以用于未来的垃圾邮件活动。
它还将下载提供对公司网络的初始访问的其他有效负载。
此访问权限用于对公司进行网络攻击,其中可能包括勒索软件攻击、数据盗窃、网络间谍活动和勒索。
虽然 Emotet 是过去分布最广的恶意软件之一,但在过去的一年里,它时断时续,最终在 2022 年底前休整。
在三个月不活动后,Emotet 僵尸网络突然重新启动,本月早些时候在全球范围内发送恶意电子邮件。
然而,这个最初的活动存在缺陷,因为它继续使用带有宏的 Word 和 Excel 文档。
由于 Microsoft 现在会自动阻止下载的 Word 和 Excel 文档中的宏,包括附加在电子邮件中的宏,因此该活动只会感染少数人。
本月早些时候使用的恶意 Emotet Word 文档
因此,我们预测 Emotet 将转向 Microsoft OneNote 文件,在 Microsoft 开始阻止宏后,这已成为分发恶意软件的流行方法。
正如预测的那样,在安全研究员首次发现的Emotet 垃圾邮件活动中 ,威胁行为者现在已经开始使用恶意 Microsoft OneNote 附件分发 Emotet 恶意软件。
这些附件分布在模仿指南、操作方法、发票、工作参考等的回复链电子邮件中。
Emotet 垃圾邮件
附加到电子邮件的是 Microsoft OneNote 文档,其中显示一条消息,说明该文档受保护。然后它会提示您双击“查看”按钮以正确显示文档。
恶意 Microsoft OneNote 附件
Microsoft OneNote 允许您创建包含覆盖嵌入式文档的设计元素的文档。
但是,当您双击嵌入文件所在的位置时,即使上面有设计元素,文件也会被启动。
在此 Emotet 恶意软件活动中,威胁参与者在“查看”按钮下方隐藏了一个名为“click.wsf”的恶意 VBScript 文件,如下所示。
微软 OneNote 文档中隐藏的 click.wsf 文件
这个 VBScript 包含一个高度混淆的脚本,它从一个远程的、可能恶意的网站下载一个 DLL,然后执行它。
恶意 click.wsf VBScript 文件
当用户尝试在 OneNote 中启动嵌入式文件时,Microsoft OneNote 会显示警告,但历史告诉我们,许多用户通常单击“确定”按钮来消除警告。
打开 Microsoft OneNote 中嵌入的文件时出现警告
如果用户单击“确定”按钮,嵌入的 click.wsf VBScript 文件将使用 OneNote 的 Temp 文件夹中的 WScript.exe 执行,每个用户可能会有所不同:
"%Temp%\OneNote\16.0\Exported\{E2124F1B-FFEA-4F6E-AD1C-F70780DF3667}\NT\0\click.wsf"
该脚本随后会将 Emotet 恶意软件下载为 DLL [ VirusTotal ],并将其存储在同一个 Temp 文件夹中。
然后它将使用 regsvr32.exe 启动随机命名的 DLL。
Emotet 现在将在设备上安静地运行,窃取电子邮件、联系人,并等待来自命令和控制服务器的进一步命令。
虽然不知道该活动最终投放了哪些有效载荷,但它通常会导致安装 Cobalt Strike 或其他恶意软件。
这些有效载荷允许与 Emotet 合作的威胁行为者获得对设备的访问权限,并将其用作在网络中进一步传播的跳板。
Microsoft OneNote 已成为一个巨大的恶意软件分发问题,多个恶意软件活动使用这些附件。
因此,微软将在 OneNote 中添加改进的保护措施 以防止网络钓鱼文档,但没有具体的时间表说明何时向所有人开放。
但是,Windows 管理员可以配置组策略来防止恶意 Microsoft OneNote 文件。
管理员可以使用这些组策略来完全阻止 Microsoft OneNote 中的嵌入式文件,或者允许您指定应阻止运行的特定文件扩展名。
Microsoft OneNote 中的所有文件附件都被阻止
强烈建议 Windows 管理员使用这些选项之一,直到 Microsoft 为 OneNote 添加进一步的保护。
恶意软件现在分布在OneNote文件中以逃避防御相关推荐
- 威胁扫描丨攻击者利用微软 OneNote 文件发起网络钓鱼活动并伺机传播恶意软件
通告信息 近期,FortiGuard Labs (Fortinet全球威胁研究与响应实验室)在追踪几起网络钓鱼活动中均发现,攻击者通过网络钓鱼电子邮件向用户发送恶意 Microsoft OneNote ...
- 笔记:Linux系统调用在文件中的分布情况
一.Linux 3.1.10版本的系统调用在文件中的分布情况如下所示: arch/alpha/kernel/osf_sys.c:SYSCALL_DEFINE2(osf_getdomainname, c ...
- 海量数据处理:两个大文件中的相同记录
1.题目描述 给定a.b两个文件,各存放50亿个url,每个url各占64字节,内存限制是4G,让你找出a.b文件共同的url? 2.思考过程 (1)首先我们最常想到的方法是读取文件a,建立哈希表(为 ...
- bulkwrite 批量插入_SQL SERVER 使用BULK Insert将txt文件中的数据批量插入表中(1)
1/首先建立数据表 CREATE TABLE BasicMsg ( RecvTime FLOAT NOT NULL , --接收时间,不存在时间相同的数据 AA INT NOT NULL, --24位 ...
- 如何确定恶意软件是否在自己的电脑中执行过?
很不幸,你在自己的电脑里发现了一个恶意的可执行程序!那么问题来了:这个文件到底有没有执行过? 在这篇文章中,我们会将注意力放在Windows操作系统的静态取证分析之上,并跟大家讨论一些能够帮助你回答上 ...
- 恶意软件Emotet卷土重来滥用.LNK文件进行攻击,你只需要一项技术就能有效保护组织
Emotet 被认为是目前最普遍.最具破坏性和修复成本最高的恶意软件 (1). 它主要通过包含恶意连结或受感染文件的网络钓鱼电子邮件进行传播. 一旦受害者下载文件或点击连接,附加的恶意软件就会自动下载 ...
- 使用pyBigWig模块查看bigwig文件中的内容
欢迎关注"生信修炼手册"! bam, bedgraph, bigwig是3种常见的存储测序深度信息的文件,都可以方便的导入IGV浏览器进行查看,其中bigwig最为常用.在chip ...
- 怎么从已有文件中挑选需要的文字重新生成新文件_word 中如何实现 一个正文位置输入 另一个正文地方自动生成一样的...
展开全部 问:WORD里边怎样设置每页不同32313133353236313431303231363533e59b9ee7ad9431333264643764的页眉?如何使不同的章节显示的页眉不同? ...
- Python: 从pcap文件中提取每个TCP session的payload
如今,网络在我们生活中起到不可或缺的作用,同时也催生出很多与网络相关的问题.比如恶意软件检测.流量识别等.机器学习和深度学习的相关算法已经被广泛应用于这些问题上面了. 本人在进行Botnet dete ...
最新文章
- Java BIO、NIO、AIO
- el-tooltip位置不灵活_美团研究院:超五成生活服务业商户有灵活用工需求
- kibana客户端工具操作ElasticSearch(增删改查三)
- html插入视频时不自动播放,html5中嵌入视频自动播放的问题解决
- ECSHOP首页调用文章内的缩略图
- java类路径定制_设置Java类路径的注意事项
- [机器学习实战] 基于概率论的分类方法:朴素贝叶斯
- 网页媒体播放利器 - JW Player使用心得
- 常见的游戏有哪些分类?
- TOMCAT的AppBase和DocBase研究
- 60位移动游戏大佬共同发起成立“上方汇”
- CDO玩“跨界”,数据驱动有戏了
- mysql弱口令加强,Mysql弱口令取得系统权限(续)
- 配置路由协议rip和ospf
- 【高项】第3章 项目立项管理【知识点精华笔记】
- IE8 各种版本链接
- °¬Èð×Éѯ¼¯ÍŸ߼¶¸±×ܲÃÈÎÄ£ºÊý×ÖÐÂýÌå¾¼Ã..
- 【HDU5984】Pocky(数学)
- 计算机与音乐制作专业就业前景,计算机音乐制作专业就业形势不错
- 极品鸿蒙系统 心月文谛,第五章:分身系统开启