אמוט, קאקבוט, סוס טרויאני לגישה מרחוק (RAT) - מה משותף להם? - כולם נשלחו דרך קבצי Microsoft Office OneNote.
כאשר מיקרוסופט השביתה פקודות מאקרו כברירת מחדל בשנת 2022 , התוקפים עברו להשתמש במנגנוני מסירה שאינם מבוססי מאקרו - וקובץ OneNote הצנוע היה התחליף המושלם.
האם קבצי OneNote Secure ?
OneNote היא אפליקציית פרודוקטיביות פופולרית בחבילת Microsoft Office, המשמשת מיליוני אנשים ברחבי העולם. בזכות הרבגוניות שלה, OneNote הפכה לכלי נוח לרישום הערות, ניהול מידע ולמרבה הצער, להפצת תוכנות זדוניות.
OneNote משתמש בסוג קובץ קנייני, המסומן בסיומת הקובץ .one, המאפשר למשתמשים לעצב הערות עם טקסט עשיר, כתב יד דיגיטלי ואובייקטים, כולל תמונות ומולטימדיה. למרות שקובצי OneNote אינם זדוניים, האקרים מנצלים את מורכבותם כדי להעביר תוכנות זדוניות על ידי הטמעת פקודות זדוניות בקובץ. פקודות אלו יכולות להוריד תוכנות זדוניות למכשיר המשתמש, מה שמוביל לתוצאות הרסניות כגון אובדן נתונים, מכשירים שנפגעו, גניבת זהות או הונאה פיננסית.
OneNote הופך פופולרי ונגיש יותר, למרבה הצער אנשים אינם מודעים לסיכוני האבטחה. חוסר מודעות זה מקל על תוקפים להטמיע פקודות זדוניות בקבצי OneNote ולהערים על משתמשים ולגרום להם להתקין תוכנות זדוניות.
טכניקות התקפה: קמפיינים להפצת תוכנות זדוניות ב-OneNote
גורמי איום משתמשים בטכניקות שונות של הנדסה חברתית כדי להפיץ תוכנות זדוניות באמצעות קבצי OneNote. התכסיסים שלהם כוללים בדרך כלל פישינג בדוא"ל והסוואה של מטען זדוני תחת רכיב לגיטימי של OneNote.
תמונות
חוקרי אבטחה זיהו קמפיין בפברואר 2023 המשתמש בתמונה זדונית כדי להפיץ את התוכנה הזדונית Qakbot (הידועה גם בשם QBot). תוקפים רימו משתמשים וגרמו להם ללחוץ פעמיים על אלמנט עיצובי במסמך OneNote. כאשר מטרה לחצה פעמיים על האלמנט, קובץ מוטמע ביצע סדרה של פקודות שהורידו והתקינו תוכנות זדוניות במכשיר היעד. קמפיין זה הוא דוגמה אחת לתוקפים המפתים משתמשים תמימים להוריד תוכנות זדוניות למערכות שלהם דרך קבצי OneNote.
תמונה לדוגמה של איך תוקפים יכולים להסתיר סקריפט זדוני מתחת להודעה ב-OneNote
קבצים מצורפים וקמפיין פישינג בדוא"ל
בקמפיין אחר, תוקפים שלחו מיילים בשרשרת תגובה עם קבצים מצורפים זדוניים ל-OneNote במסווה של מסמכים לגיטימיים (למשל, מדריכים, חשבוניות ומסמכים אחרים). באמצעות טכניקה דומה לזו שלעיל, התוקף הסתיר VBScript מעורפל מאוד בקבצים מצורפים אלה, וכאשר בוצע, הוא הוריד והתקין את התוכנה הזדונית Emotet במכשיר הקורבן כספריית קישורים דינמית (DLL). תוכנה זדונית Emotet מסוכנת ביותר משום שהיא פועלת בשקט במכשיר שנפרץ, גונבת מידע סודי (מיילים, אנשי קשר) או ממתינה לפקודות משרת הבקרה, כגון הורדת מטענים נוספים.
בתגובה למתקפות OneNote , מיקרוסופט חסמה משתמשים מלפתוח קובץ מוטמע עם סיומת מסוכנת החל מגרסה 2304 באפריל 2023. OneNote מציג תיבת דו-שיח המגבילה את יכולתו של המשתמש לפתוח את הקובץ, אך המשתמש עדיין יכול לפתוח אותו על ידי לחיצה על "אישור".
היפר-קישורים מוטמעים
מלבד ניצול קבצים מצורפים, תוקפים יכולים להשתמש בכתובות URL, קישורים או תמונות בקבצי OneNote כדי להעביר תוכנות זדוניות. טקטיקות ההנדסה החברתית שלהם משתנות, אך המטרה הסופית היא לגרום לקורבן להפעיל מטען זדוני.
מניעת העברת תוכנות זדוניות ב-OneNote באמצעות ביטול נשק ושחזור תוכן
טכנולוגיית OPSWAT Deep Content Disarm and Reconstruction ( Deep CDR ) מתייחסת לכל קובץ ורכיב קובץ כאל איומים פוטנציאליים. כאשר מתמודדים עם קבצים מורכבים כמו OneNote, חשוב לוודא שאין רכיבים זדוניים מוסתרים מהעין - בין אם מדובר בסקריפט מוסתר מאחורי תמונה, היפר-קישור מוסווה או תוכנה זדונית הקבורה באחת הכרטיסיות של המחברת. למד על כל סוגי הקבצים ש- Deep CDR תומך בהם .
Deep CDR בודק את קובץ OneNote וכל קבצים מצורפים, תמונות או רכיבים אחרים. לאחר מכן מנקה אותם באופן רקורסיבי ומסיר כל תוכן שעלול להיות זדוני. באותה סריקה, OPSWAT טכנולוגיית Metascan ממנפת מספר מנועי אנטי-וירוס כדי לזהות תוכנות זדוניות בתוך הקובץ.
Deep CDR מזהה אובייקט זדוני בקובץ OneNote
לְבָסוֹף, Deep CDR יוצר מחדש קובץ OneNote בטוח, נקי מאובייקטים זדוניים, תוך שמירה על הפונקציונליות המקורית של הקובץ. Deep CDR מסיר את כל האיומים הידועים והלא ידועים, ומשאיר את הקובץ בטוח לשימוש.
למטה נמצא ה- MetaDefender Core תוצאת סריקה:
הקובץ שנוצר מחדש על ידי Deep CDR בטוח לשימוש
הערה אחרונה: שיטות עבודה מומלצות להגנה על הקבצים שלך
כדי למנוע מתקפות סייבר המנצלות לרעה קבצי OneNote, שקלו ליישם את אמצעי האבטחה הבאים:
- יש לנקוט משנה זהירות עם הודעות דוא"ל וקבצים מצורפים: יש לנקוט משנה זהירות בעת קבלת הודעות דוא"ל עם קבצים מצורפים ל-OneNote, במיוחד משולחים לא ידועים או חשודים. אם המקור אינו מאומת או נראה חשוד, יש להימנע מפתיחת הקובץ המצורף.
- עדכוני תוכנה: האקרים מנצלים לעתים קרובות פגיעויות ביישומי תוכנה כדי להתקין תוכנות זדוניות במכשירים. למרות ש-Microsoft שיפרה כל הזמן את ההגנה מפני ניצול פגיעויות, תוקפי סייבר עדיין יכולים לכוון לארגונים המשתמשים בגרסאות תוכנה ישנות יותר ולא מתוקנות. כדי להילחם בכך, עדכנו את מערכת ההפעלה, תוכנת האנטי-וירוס וכל היישומים הרלוונטיים. יישום קבוע של עדכוני תוכנה מבטיח הגנה על המערכת שלכם מפני פגיעויות ידועות.
- היזהרו מקישורים בתוך קבצי OneNote: בדומה לקבצים מצורפים לדוא"ל, היזהרו בעת פתיחת קישורים בתוך קבצי OneNote. קישורים אלה עלולים להוביל לאתרים זדוניים שעלולים להדביק את המכשיר שלכם בתוכנה זדונית. פתחו קישורים רק ממקורות מהימנים וודאו שהאתר בו אתם מבקרים הוא לגיטימי ומאובטח.
- הגנת אנטי-וירוס: השתמשו בתוכנת אנטי-וירוס בעלת מוניטין כדי לסרוק כל קובץ נכנס אחר תוכנות זדוניות ידועות ולא ידועות. כדי לשפר את היעילות, שימוש במנועי אנטי-וירוס מרובים יגדיל את שיעורי גילוי התוכנות הזדוניות בהשוואה לשימוש במנוע יחיד. למדו על טכנולוגיית Multiscanning OPSWAT .
- הסר את כל האובייקטים שעלולים להיות זדוניים: אמצעי אבטחה כגון Deep CDR עוזרים לארגונים להגן על עצמם מפני טכנולוגיות זדוניות מתקדמות וחמקמקות, כולל איומים ידועים ולא ידועים, איומי יום אפס ותוכנות זדוניות בלתי ניתנות לגילוי ומעורפלות. התייחסות לכל קובץ כאיום פוטנציאלי מפחיתה את הסיכון להפעלת קוד מזיק בשוגג.
כדי ללמוד עוד על OPSWAT טכנולוגיות לגילוי ומניעת איומים , צרו קשר עם אחד המומחים הטכניים שלנו .
