Emotet, Qakbot, Uzaktan Erişim Truva Atı (RAT) - ortak noktaları nedir? - Hepsi Microsoft Office OneNote dosyaları aracılığıyla gönderilmiştir.
Microsoft 2022'de varsayılan olarak makroları devre dışı bıraktığında, saldırganlar makro tabanlı olmayan dağıtım mekanizmalarını kullanmaya başladı ve mütevazi OneNote dosyası mükemmel bir ikame oldu.
OneNote Dosyaları Secure mu?
OneNote, Microsoft Office paketinde yer alan ve dünya çapında milyonlarca kişi tarafından kullanılan popüler bir üretkenlik uygulamasıdır. Çok yönlülüğü sayesinde OneNote not alma, bilgi yönetimi ve maalesef kötü amaçlı yazılım dağıtımı için kullanışlı bir araç haline gelmiştir.
OneNote, kullanıcıların zengin metin, dijital el yazısı ve resimler ve multimedya dahil olmak üzere nesnelerle notları biçimlendirmesine olanak tanıyan .one dosya uzantısı ile gösterilen özel bir dosya türü kullanır. OneNote dosyaları kötü amaçlı olmasa da, bilgisayar korsanları dosyaya kötü amaçlı komutlar yerleştirerek kötü amaçlı yazılım sunmak için karmaşıklıklarından yararlanırlar. Bu komutlar kullanıcının cihazına kötü amaçlı yazılım indirebilir ve veri kaybı, güvenliği ihlal edilmiş cihazlar, kimlik hırsızlığı veya finansal dolandırıcılık gibi yıkıcı sonuçlara yol açabilir.
OneNote giderek daha popüler ve erişilebilir hale geliyor, ancak ne yazık ki insanlar güvenlik risklerinin farkında değil. Bu farkındalık eksikliği, saldırganların OneNote dosyalarına kötü amaçlı komutlar yerleştirmesini ve kullanıcıları kötü amaçlı yazılım yüklemeleri için kandırmasını kolaylaştırıyor.
Saldırı Teknikleri: OneNote Kötü Amaçlı Yazılım Dağıtım Kampanyaları
Tehdit aktörleri OneNote dosyalarını kullanarak kötü amaçlı yazılım yaymak için çeşitli sosyal mühendislik teknikleri kullanmaktadır. Bu teknikler genellikle e-posta kimlik avı ve kötü amaçlı bir yükün meşru bir OneNote bileşeni altında gizlenmesini içerir.
Görüntüler
Güvenlik araştırmacıları Şubat 2023 'te Qakbot (QBot olarak da bilinir) kötü amaçlı yazılımını dağıtmak için kötü amaçlı bir görüntü kullanan bir kampanya tespit etti. Saldırganlar kullanıcıları OneNote belgesindeki bir tasarım öğesine çift tıklamaları için kandırdı. Bir hedef öğeye çift tıkladığında, gömülü bir dosya, hedef cihaza kötü amaçlı yazılım indiren ve yükleyen bir dizi komutu çalıştırdı. Bu kampanya, saldırganların şüphelenmeyen kullanıcıları OneNote dosyaları aracılığıyla sistemlerine kötü amaçlı yazılım indirmeleri için tuzağa düşürmelerine bir örnektir.
Saldırganların OneNote'ta bir mesajın altına kötü amaçlı bir komut dosyasını nasıl gizleyebileceğini gösteren örnek görüntü
Ekli dosyalar ve e-posta kimlik avı kampanyası
Başka bir kampanyada, saldırganlar yasal belgeler (örneğin, kılavuzlar, faturalar ve diğer belgeler) olarak gizlenmiş kötü amaçlı OneNote ekleri içeren yanıt zinciri e-postaları göndermiştir. Saldırgan, yukarıdakine benzer bir teknik kullanarak, bu eklerde yoğun şekilde gizlenmiş bir VBScript sakladı ve çalıştırıldığında, Emotet kötü amaçlı yazılımını kurbanın cihazına dinamik bağlantı kitaplığı (DLL) olarak indirip yükledi. Emotet kötü amaçlı yazılımı son derece tehlikelidir çünkü ele geçirilen cihazda sessizce çalışarak gizli bilgileri (e-postalar, kişiler) çalmakta veya kontrol sunucusundan ek yükler indirmek gibi komutlar beklemektedir.
OneNote saldırılarına yanıt olarak Microsoft, Nisan 2023'te 2304 sürümünden itibaren kullanıcıların tehlikeli bir uzantıya sahip gömülü bir dosyayı açmasını engellemiştir. OneNote, kullanıcının dosyayı açmasını kısıtlayan bir iletişim kutusu görüntüler, ancak kullanıcı yine de "Tamam" ı tıklayarak dosyayı açabilir.
Gömülü köprüler
Saldırganlar, ekli dosyalardan yararlanmanın yanı sıra, kötü amaçlı yazılım göndermek için OneNote dosyalarındaki URL'leri, köprüleri veya resimleri kullanabilir. Sosyal mühendislik taktikleri değişiklik gösterse de nihai hedef kurbanın kötü amaçlı bir yükü çalıştırmasını sağlamaktır.
İçerik Etkisizleştirme ve Yeniden Yapılandırma ile OneNote Kötü Amaçlı Yazılım Gönderimini Önleme
OPSWAT Deep Content Disarm and Reconstruction (Deep CDR ) teknolojisi her dosyayı ve dosya bileşenini potansiyel tehdit olarak ele alır. OneNote gibi karmaşık dosyalarla uğraşırken, bir görüntünün arkasına gizlenmiş bir komut dosyası, gizlenmiş bir köprü veya not defterinin sekmelerinden birine gömülmüş kötü amaçlı yazılım gibi gözden kaçan kötü amaçlı bileşenlerin bulunmadığından emin olmak önemlidir. Deep CDR 'un desteklediği tüm dosya türleri hakkında bilgi edinin.
Deep CDR OneNote dosyasını ve tüm ekleri, görüntüleri veya diğer bileşenleri inceler. Ardından bunları özyinelemeli olarak sterilize eder ve potansiyel olarak kötü amaçlı içeriği kaldırır. Aynı taramada, OPSWAT Metascan teknolojisi dosyanın içindeki kötü amaçlı yazılımları tespit etmek için birden fazla antivirüs motorundan yararlanır.
Deep CDR OneNote dosyasındaki kötü amaçlı nesneyi algılar
Son olarak, Deep CDR dosyanın orijinal işlevselliğini korurken kötü amaçlı nesnelerden arındırılmış güvenli bir OneNote dosyasını yeniden oluşturur. Deep CDR bilinen ve bilinmeyen tüm tehditleri kaldırarak dosyanın güvenli bir şekilde kullanılmasını sağlar.
Aşağıda MetaDefender Core tarama sonucu yer almaktadır:
Deep CDR tarafından yeniden oluşturulan dosyanın kullanımı güvenlidir
Son Bir Not: Dosyalarınızı Korumak İçin En İyi Uygulamalar
OneNote dosyalarını kötüye kullanan siber saldırıları önlemek için aşağıdaki güvenlik önlemlerini uygulamayı düşünün:
- E-postalar ve ekler konusunda dikkatli olun: Özellikle bilinmeyen veya şüpheli gönderenlerden OneNote ekleri içeren e-postalar alırken dikkatli olun. Kaynak doğrulanmamışsa veya şüpheli görünüyorsa, eki açmaktan kaçının.
- Yazılımı güncel tutun: Bilgisayar korsanları cihazlara kötü amaçlı yazılım yüklemek için genellikle yazılım uygulamalarındaki güvenlik açıklarından yararlanır. Microsoft, güvenlik açığı istismarlarına karşı korumayı sürekli olarak geliştirmiş olsa da, siber saldırganlar hala eski, yamalanmamış yazılım sürümlerini kullanan kuruluşları hedef alabilir. Bununla mücadele etmek için işletim sisteminizi, antivirüs yazılımınızı ve ilgili tüm uygulamaları güncel tutun. Yazılım güncellemelerini düzenli olarak uygulamak sisteminizin bilinen güvenlik açıklarına karşı korunmasını sağlar.
- OneNote dosyaları içindeki bağlantılar konusunda dikkatli olun: E-posta eklerine benzer şekilde, OneNote dosyalarındaki bağlantıları açarken dikkatli olun. Bu bağlantılar cihazınıza kötü amaçlı yazılım bulaştırabilecek kötü amaçlı web sitelerine yönlendirebilir. Yalnızca güvenilir kaynaklardan gelen bağlantıları açın ve ziyaret ettiğiniz web sitesinin yasal ve güvenli olduğundan emin olun.
- Antivirüs koruması: Gelen her dosyayı bilinen ve bilinmeyen kötü amaçlı yazılımlara karşı taramak için saygın bir antivirüs yazılımı kullanın. Verimliliği artırmak için birden fazla antivirüs motoru kullanmak, tek bir motor kullanmaya kıyasla kötü amaçlı yazılım tespit oranlarını artıracaktır. OPSWAT Multiscanning teknolojisi hakkında bilgi edinin.
- Kötü amaçlı olabilecek tüm nesneleri kaldırın: Aşağıdakiler gibi güvenlik önlemleri Deep CDR kurumların kendilerini hem bilinen hem de bilinmeyen tehditler, sıfırıncı gün tehditleri ve tespit edilemeyen ve gizlenmiş kötü amaçlı yazılımlar dahil olmak üzere gelişmiş ve kaçamak kötü amaçlı yazılım teknolojilerinden korumalarına yardımcı olur. Her dosyayı potansiyel bir tehdit olarak ele almak, yanlışlıkla zararlı kod çalıştırma riskini azaltır.
OPSWAT tehdit algılama ve önleme teknolojileri hakkında daha fazla bilgi edinmek için teknik uzmanlarımızdan biriyle iletişime geçin.
Uzmanlarımızla İletişime Geçin
