Tren Naékna Dokumén OneNote pikeun Pangiriman Malware

Ditulis ku Anandeshwar Unnikrishnan,Sakshi Jaiswal, Anuradha M

dititénan anyar Malware kampanye ngagunakeunD dokumen OneNote jahat ka metot pamaké pikeun klik dina file embedded pikeun ngundeur tur ngajalankeun Qakbot trojan.

Hiji catetan nyaéta aplikasi notebook digital Microsoft anu tiasa diunduh gratis. Éta mangrupikeun aplikasi anu nyandak catetan anu ngamungkinkeun kolaborasi lintas-organisasi bari ngamungkinkeun para pangguna pikeun nyelapkeun file sareng artefak sanés. Éta dipasang sacara standar dina Microsoft Office 2021 sareng Microsoft 365.

Si Jahat sok nyobian milarian cara anyar pikeun nginféksi korbanna. Kawas shift maranéhanana ka file LNK sanggeus Microsoft ngawanohkeun parobahan kawijakan Makro kantor ditumpurkeun sacara standar. Kusabab fitur anu ngamungkinkeun para pangguna ngagantelkeun file kana dokumén OneNote, éta ngajantenkeun alternatif anu saé pikeun file LNK salaku alat distribusi pikeun nyebarkeun malware na. Blog ieu ngandung analisa kumaha dokumén OneNote dianggo pikeun tujuan jahat sareng dua kampanye khusus anu ngagunakeun dokumén OneNote pikeun ngaunduh sareng ngajalankeun malware Qakbot.

kampanye OneNote di alam liar

Gambar 1 nembongkeun sebaran géografis wijaksana konsumén McAfee anu ngadeteksi file OneNote jahat.

Dumasar telemétri tina titik tungtung kami, kami parantos ngaidentipikasi grup ancaman di handap ieu anu sumebar dina dokumén OneNote:

• Esid
• Qakbot
• Garis beureum
• AsyncRat
• Remcos
• AgénTesla
• QuasarRAT
• XWORMs
• Jaringan
• Buku formulir
• Ganda nepi

Tinjauan Dokumén OneNote Bahaya

Panempoan holistik ngeunaan kampanye phishing anu nganggo dokumén OneNote dipidangkeun dina Gambar 2 di handap ieu. Dokumén jahat dikirim dina bentuk file pos atanapi gambar ISO ka target via email phishing. Kami parantos ningali yén kalolobaan dokumén jahat gaduh skrip batch Windows anu nyauran Powershell pikeun ngahapus malware dina sistem atanapi skrip Visual Basic anu sami.

Téma umum tina esurat téh abdiinvoice atanapi légal patali. Jenis téma ieu leuwih gampang dibuka ku korban. Conto kantétan awak sareng email nyaeta ditémbongkeun dina Gambar 3 jeung 4.

Teuleum jero kana Format File OneNote

Header File

Pikeun ngartos kumaha data diatur dina file, urang kedah nalungtik éta dina tingkat bait. Nyokot katingal ngadeukeutan dina dokumén OneNote méré urang hiji observasi metot sabab bait magic pikeun lulugu teu prestasi leutik. Gambar 5 nembongkeun 16 bait munggaran tina dokumén binér.

16 bait munggaran kedah diinterpretasi salaku nilai GUID {7B5C52E4-D88C-4DA7-AEB1-5378D02996D3}. Urang tiasa nganggo dokuméntasi resmi pikeun spésifikasi OneNote pikeun ngartos sadaya bait sareng susunanana. Jumlah 6 mintonkeun informasi lulugu dicokot tina dokumén spésifikasi OneNote.

Aliran Data dina OneNote, Ucapkeun Salam Pikeun FileDataStoreObject

Pikeun mendakan data anu diselapkeun dina dokumén OneNote, urang kedah diajar langkung seueur ngeunaan FileDataStoreObject anu gaduh nilai GUID {BDE316E7-2665-4511-A4C4-8D4D0B7A9EAC}. Struktur nu nyimpen data ditémbongkeun di handap:

• guidHeader (16 bait)
• Ukuran: 16 bait
• Nilai: {BDE316E7-2665-4511-A4C4-8D4D0B7A9EAC}
• cbPanjang
• Ukuran: 8 bait
• Nilai: Ukuran data
• henteu kapake
• Ukuran: 4 bait
• disimpen
• Ukuran: 8 bait
• FileData
• Ukuran: Variabel
• guidFooter
• Ukuran: 16 bait
• Nilai: {71FBA722-0F79-4A0B-BB13-899256426B24}

Anggota FileData tina FileDataStoreObject mangrupikeun anggota konci anu nyimpen data anu dipasang dina dokumén OneNote. Ukuran tiasa dicandak ti anggota cbLength.

angka 7 nembongkeun “dina disk” ngagambarkeun FileDataStoreObject. Ieu dicokot tina dokumen OneNote jahat dipaké pikeun nyebarkeun payload Qakbot. GuidHeader pikeun obyék data disorot warna konéng sareng datana dipidangkeun beureum. Sapertos gambar, data ngagambarkeun file téks anu mangrupikeun skrip pikeun ngaluncurkeun PowerShell.

Kanggo inpo nu langkung lengkep ihwal spésifikasi OneNote, buka bagian rujukan

Ékstraksi artefak

Ayeuna urang gaduh ide naon obyék data, ku pangaweruh ieu urang tiasa ngajadikeun otomatis prosés ékstraksi artefak anu dipasang pikeun analisa salajengna tina dokumén OneNote ku nuturkeun algoritma di handap ieu.

• Tingali pikeun FileDataStoreObject GUID dina binér.
• Napsirkeun struktur FileDataStoreObject
• Meunangkeun anggota cbLength (ukuran data digambarkeun ku FileDataStoreObject)
• Baca N bait (cbLength) sanggeus 8 bait Nyadangkeun di FileDataStoreObject.
• Piceun bait anu dibaca kana disk
• Malikan deui léngkah di luhur pikeun tiap FileDataStoreObject anu aya dina binér

Objék Palaksanaan Dipasang dina OneNote

Palaksanaan Éntitas Embedded

Ningali karakteristik runtime tina aplikasi OneNote Desktop, kami ningali yén nalika file anu dipasang dijalankeun ku pangguna, éta samentawis disimpen dina diréktori OneNote di lokasi Pangguna Temp. Unggal diréktori kalayan nilai GUID ngagambarkeun dokumén béda anu dibuka dina aplikasi OneNote.

Ku nganalisa seueur dokumén jahat, kami tiasa nyiptakeun “uji” dokumén OneNote anu ngajalankeun file bets anu ngandung “Saha atuh“Parentah. Poto dina Jumlah 9 némbongkeun file bets keur dihasilkeun dina lokasi temp pamaké.

Kampanye Qakbot 1:

Bagian ieu ngandung detil khusus ngeunaan kampanye Qakbot. Dina kampanye 1, pangarang malware nganggo email phishing pikeun ngirim dokumén OneNote anu jahat salaku gagantel atanapi tautan URL kana file pos anu ngandung dokumén OneNote. OneNote ngandung file HTA anu sakali dijalankeun bakal nganggo utilitas curl pikeun ngaunduh Qakbot teras ngajalankeunana.

Aliran Inféksi:

• Surelek spam ngirimkeun file OneNote anu jahat salaku kantétan atanapi tautan kana file ZIP anu ngandung file OneNote.
• File OneNote ngandung kantétan HTA anu dipasang sareng pesen palsu pikeun mamingan pangguna pikeun ngaéksekusi file HTA
• File HTA nganggo utilitas curl pikeun ngaunduh muatan Qakbot sareng dijalankeun ku rundll32.exe.

Analisis Téknis:

File OneNote sareng file HTA anu dipasang dipidangkeun dina Gambar 11. Sakali file OneNote ieu dibuka, pangguna anu pesen palsu dipenta pikeun ngaklik dua kali Buka pikeun ningali lampiran.

Sanggeus ngaklik Buka tombol, eta pakait file HTA kalawan ngaran Buka. hta ka %suhu% Polder tur ngajalankeun ngagunakeun mshta.exe.

The HTA file ngandung hiji skrip obfuscated sakumaha ditémbongkeun handapeun:

File HTA dimuat ku MSHTA sareng nyiptakeun konci pendaptaran HKEY_CURRENT_USER\SOFTWARE\ kalawan eusi obfuscated sakumaha ditémbongkeun di handap ieu:

• pendaptaran obfuscated lajeng dibaca ku MSHTA jeung kode obfuscated ieu obfuscated. Kode ieu lajeng initialized ka obyék fungsi anyar ditémbongkeun saperti dina Block1.
• Tungtungna, MSHTA nyauran pungsi ieu ku ngalangkungan URL jahat salaku parameter teras miceun konci pendaptaran sapertos anu dipidangkeun dina Blok 2.

Eusi obfuscated tina file HTA ditémbongkeun di handap ieu:

• Curl dipaké pikeun ngundeur file DLL jahat C:\ProgramData Polder kalawan .png extension. Skrip teras bakal ngajalankeun file anu diunduh sareng Rundll32.exe sareng fungsi ékspor Angin.

• Pesen kasalahan palsu ditampilkeun saatos ngamuat muatan anu diunduh sareng MSHTA ditungtungan.

Gambar 18 nempokeun

IOC:

Tipe	Tandaan	produk	dideteksi
Kampanye 1 – file OneNote	88c24db6c7513f47496d2e4b81331af60a70cf8fb491540424d2a0be0b62f5ea	Total Protection na LiveSafe	VBS/Qakbot.a
Kampanye 1 – HTA Payil	e85f2b92c0c2de054af2147505320e0ce955f08a2ff411a34dce69c28b11b4e4	Total Protection na LiveSafe	VBS/Qakbot b
Kampanye 1 – DLL Payil	15789B9b6f09ab7a498eebbe7c63b21a6a64356c20b7921e11e01cd7b1b495e3	Total Protection na LiveSafe	Qakbot-FMZ

Kampanye 2:

Panaliti Dokumén OneNote anu Bahaya

Dokumén OneNote pikeun kampanye 2 dipidangkeun dina Gambar 19. Dina glance kahiji katingalina aya tombol ‘Buka’ anu dipasang dina dokumen éta. Pesen di luhur tombol ‘Buka’ maréntahkeun pamaké pikeun “klik dua kali” pikeun nampa lampiran.

Candak katingal ngadeukeutan dina dokumén nyingkab Anu elemen grafis téh sakabéh gambar disimpen dina gaya layered ku jahat aktor. Ku ngagerakkeun ikon ka gigir, urang tiasa ningali file bets jahat anu nalika dieksekusi Ngundeur payload tina Internét sareng ngajalankeun sistem target.

Palaksanaan Payload Dropper

Saatos palaksanaan file angkatan, Powershell bakal ditelepon sareng nyandak muatan Qakbot tina Internét sareng ngajalankeun kana sistem target. Bagian ieu bakal rinci ngeunaan skrip dropper anu dianggo pikeun nerapkeun QakBot. Angka 21 Némbongkeun tangkal prosés saatos palaksanaan naskah sareng anjeun tiasa ningali yén powershell.exe diluncurkeun ku cmd.exe sareng indungna cmd.exe nyaéta onenote.exe.

Eusi prosés cmd.exe (7176) dipintonkeun handapeun.

The base64 decode bets file ditémbongkeun dina Gambar 23. Bakal ngagunakeun PowerShell pikeun ngundeur payload lajeng ngajalankeun eta kalawan rundll32.exe

IOCS

Tipe	Tandaan	produk	dideteksi
Kampanye 2 – File Zip	000fb3799a741d80156c512c792ce09b9c4fbd8db108d63f3fdb0194c122e2a1	Total Protection na LiveSafe	VBS/Qakbot.a
Kampanye 2 – file OneNote	2bbfc13c80c7c6e77478ec38d499447288adc78a2e4b3f8da6223db9e3ac2d75	Total Protection na LiveSafe	Hiji/Downloader.a
Kampanye 2 – Payil Powershell	b4dd3e93356329c076c0d2cd5ac30a806daf46006bdb81199355952e9d949424	Total Protection na LiveSafe	PS/Agen.gs
Kampanye 2 – OneNoteFile	a870d31caea7f6925f41b581b98c35b162738034d5d86c0c27c5a8d78404e860	Total Protection na LiveSafe	VBS/Qakbot.a

Domain:

starcomputadoras.com

Kacindekan:

Pangarang malware beuki canggih nalika nyumputkeun muatanana. Blog ieu nyorot kampanye Qakbot panganyarna anu ngirimkeun muatan na nganggo aplikasi OneNote salaku mékanisme pangiriman. konsumén McAfee kedah tetep sistemna up-to-date sareng nolak ngaklik tautan sareng muka kantétan dina email anu curiga supados tetep dijagi.

Rujukan:

https://learn.microsoft.com/en-us/openspecs/office_file_formats/ms-onestore/405b958b-4cb7-4bac-81cc-ce0184249670

https://learn.microsoft.com/en-us/openspecs/office_file_formats/ms-onestore/8806fd18-6735-4874-b111-227b83eaac26