Emotet, Qakbot, Uzaktan Erişim Truva Atı (RAT) - ortak noktaları nedir? - Hepsi Microsoft Office OneNote dosyaları aracılığıyla gönderilmiştir.
Microsoft 2022'de varsayılan olarak makroları devre dışı bıraktığında, saldırganlar makro tabanlı olmayan dağıtım mekanizmalarını kullanmaya başladı ve mütevazi OneNote dosyası mükemmel bir ikame oldu.
OneNote Dosyaları Secure mu?
OneNote, Microsoft Office paketinde yer alan ve dünya çapında milyonlarca kişi tarafından kullanılan popüler bir üretkenlik uygulamasıdır. Çok yönlülüğü sayesinde OneNote not alma, bilgi yönetimi ve maalesef kötü amaçlı yazılım dağıtımı için kullanışlı bir araç haline gelmiştir.
OneNote, kullanıcıların zengin metin, dijital el yazısı ve resimler ve multimedya dahil olmak üzere nesnelerle notları biçimlendirmesine olanak tanıyan .one dosya uzantısı ile gösterilen özel bir dosya türü kullanır. OneNote dosyaları kötü amaçlı olmasa da, bilgisayar korsanları dosyaya kötü amaçlı komutlar yerleştirerek kötü amaçlı yazılım sunmak için karmaşıklıklarından yararlanırlar. Bu komutlar kullanıcının cihazına kötü amaçlı yazılım indirebilir ve veri kaybı, güvenliği ihlal edilmiş cihazlar, kimlik hırsızlığı veya finansal dolandırıcılık gibi yıkıcı sonuçlara yol açabilir.
OneNote giderek daha popüler ve erişilebilir hale geliyor, ancak ne yazık ki insanlar güvenlik risklerinin farkında değil. Bu farkındalık eksikliği, saldırganların OneNote dosyalarına kötü amaçlı komutlar yerleştirmesini ve kullanıcıları kötü amaçlı yazılım yüklemeleri için kandırmasını kolaylaştırıyor.
Saldırı Teknikleri: OneNote Kötü Amaçlı Yazılım Dağıtım Kampanyaları
Tehdit aktörleri OneNote dosyalarını kullanarak kötü amaçlı yazılım yaymak için çeşitli sosyal mühendislik teknikleri kullanmaktadır. Bu teknikler genellikle e-posta kimlik avı ve kötü amaçlı bir yükün meşru bir OneNote bileşeni altında gizlenmesini içerir.
Görüntüler
Güvenlik araştırmacıları Şubat 2023 'te Qakbot (QBot olarak da bilinir) kötü amaçlı yazılımını dağıtmak için kötü amaçlı bir görüntü kullanan bir kampanya tespit etti. Saldırganlar kullanıcıları OneNote belgesindeki bir tasarım öğesine çift tıklamaları için kandırdı. Bir hedef öğeye çift tıkladığında, gömülü bir dosya, hedef cihaza kötü amaçlı yazılım indiren ve yükleyen bir dizi komutu çalıştırdı. Bu kampanya, saldırganların şüphelenmeyen kullanıcıları OneNote dosyaları aracılığıyla sistemlerine kötü amaçlı yazılım indirmeleri için tuzağa düşürmelerine bir örnektir.
Saldırganların OneNote'ta bir mesajın altına kötü amaçlı bir komut dosyasını nasıl gizleyebileceğini gösteren örnek görüntü
Ekli dosyalar ve e-posta kimlik avı kampanyası
Başka bir kampanyada, saldırganlar yasal belgeler (örneğin, kılavuzlar, faturalar ve diğer belgeler) olarak gizlenmiş kötü amaçlı OneNote ekleri içeren yanıt zinciri e-postaları göndermiştir. Saldırgan, yukarıdakine benzer bir teknik kullanarak, bu eklerde yoğun şekilde gizlenmiş bir VBScript sakladı ve çalıştırıldığında, Emotet kötü amaçlı yazılımını kurbanın cihazına dinamik bağlantı kitaplığı (DLL) olarak indirip yükledi. Emotet kötü amaçlı yazılımı son derece tehlikelidir çünkü ele geçirilen cihazda sessizce çalışarak gizli bilgileri (e-postalar, kişiler) çalmakta veya kontrol sunucusundan ek yükler indirmek gibi komutlar beklemektedir.
OneNote saldırılarına yanıt olarak Microsoft, Nisan 2023'te 2304 sürümünden itibaren kullanıcıların tehlikeli bir uzantıya sahip gömülü bir dosyayı açmasını engellemiştir. OneNote, kullanıcının dosyayı açmasını kısıtlayan bir iletişim kutusu görüntüler, ancak kullanıcı yine de "Tamam" ı tıklayarak dosyayı açabilir.
Gömülü köprüler
Saldırganlar, ekli dosyalardan yararlanmanın yanı sıra, kötü amaçlı yazılım göndermek için OneNote dosyalarındaki URL'leri, köprüleri veya resimleri kullanabilir. Sosyal mühendislik taktikleri değişiklik gösterse de nihai hedef kurbanın kötü amaçlı bir yükü çalıştırmasını sağlamaktır.
İçerik Etkisizleştirme ve Yeniden Yapılandırma ile OneNote Kötü Amaçlı Yazılım Gönderimini Önleme
OPSWAT Deep Content Disarm and Reconstruction Deep CDR™ Teknolojisi), her dosyayı ve dosya bileşenini potansiyel bir tehdit olarak değerlendirir. OneNote gibi karmaşık dosyalarla çalışırken, bir görüntünün arkasına gizlenmiş bir komut dosyası, kılık değiştirmiş bir köprü ya da not defterinin sekmelerinden birine gömülmüş bir kötü amaçlı yazılım gibi, gözden kaçan hiçbir zararlı bileşen kalmadığından emin olmak önemlidir. Deep CDR™ Teknolojisinin desteklediği tüm dosya türleri hakkında bilgi edinin.
Deep CDR™ Teknolojisi, OneNote dosyasını ve tüm ekleri, resimleri veya diğer bileşenleri inceler. Ardından bunları özyinelemeli olarak temizler ve potansiyel olarak zararlı içeriği kaldırır. Aynı tarama sırasında, OPSWAT teknolojisi, dosyanın içindeki kötü amaçlı yazılımları tespit etmek için birden fazla antivirüs motorunu kullanır.
Deep CDR™ Teknolojisi, OneNote dosyalarındaki zararlı nesneleri tespit eder
Son olarak, Deep CDR™ Teknolojisi, dosyanın orijinal işlevselliğini korurken, zararlı nesnelerden arındırılmış güvenli bir OneNote dosyası oluşturur. Deep CDR™ Teknolojisi, bilinen ve bilinmeyen tüm tehditleri ortadan kaldırarak dosyanın güvenli bir şekilde kullanılmasını sağlar.
Aşağıda MetaDefender Core tarama sonucu yer almaktadır:
Deep CDR™ Teknolojisi ile yeniden oluşturulan dosyanın kullanımı güvenlidir
Son Bir Not: Dosyalarınızı Korumak İçin En İyi Uygulamalar
OneNote dosyalarını kötüye kullanan siber saldırıları önlemek için aşağıdaki güvenlik önlemlerini uygulamayı düşünün:
- E-postalar ve ekler konusunda dikkatli olun: Özellikle bilinmeyen veya şüpheli gönderenlerden OneNote ekleri içeren e-postalar alırken dikkatli olun. Kaynak doğrulanmamışsa veya şüpheli görünüyorsa, eki açmaktan kaçının.
- Yazılımı güncel tutun: Bilgisayar korsanları cihazlara kötü amaçlı yazılım yüklemek için genellikle yazılım uygulamalarındaki güvenlik açıklarından yararlanır. Microsoft, güvenlik açığı istismarlarına karşı korumayı sürekli olarak geliştirmiş olsa da, siber saldırganlar hala eski, yamalanmamış yazılım sürümlerini kullanan kuruluşları hedef alabilir. Bununla mücadele etmek için işletim sisteminizi, antivirüs yazılımınızı ve ilgili tüm uygulamaları güncel tutun. Yazılım güncellemelerini düzenli olarak uygulamak sisteminizin bilinen güvenlik açıklarına karşı korunmasını sağlar.
- OneNote dosyaları içindeki bağlantılar konusunda dikkatli olun: E-posta eklerine benzer şekilde, OneNote dosyalarındaki bağlantıları açarken dikkatli olun. Bu bağlantılar cihazınıza kötü amaçlı yazılım bulaştırabilecek kötü amaçlı web sitelerine yönlendirebilir. Yalnızca güvenilir kaynaklardan gelen bağlantıları açın ve ziyaret ettiğiniz web sitesinin yasal ve güvenli olduğundan emin olun.
- Antivirüs koruması: Gelen her dosyayı bilinen ve bilinmeyen kötü amaçlı yazılımlara karşı taramak için saygın bir antivirüs yazılımı kullanın. Verimliliği artırmak için birden fazla antivirüs motoru kullanmak, tek bir motor kullanmaya kıyasla kötü amaçlı yazılım tespit oranlarını artıracaktır. OPSWAT Multiscanning teknolojisi hakkında bilgi edinin.
- Olası zararlı nesneleri tamamen ortadan kaldırın: Deep CDR™ Teknolojisi gibi güvenlik önlemleri, kuruluşların bilinen ve bilinmeyen tehditler, sıfırıncı gün tehditleri ile tespit edilemeyen ve gizlenmiş kötü amaçlı yazılımlar dahil olmak üzere, gelişmiş ve tespit edilmeye karşı dirençli kötü amaçlı yazılım teknolojilerinden kendilerini korumalarına yardımcı olur. Her dosyayı potansiyel bir tehdit olarak ele almak, zararlı kodların yanlışlıkla çalıştırılma riskini azaltır.
OPSWAT tehdit algılama ve önleme teknolojileri hakkında daha fazla bilgi edinmek için teknik uzmanlarımızdan biriyle iletişime geçin.
Uzmanlarımızla İletişime Geçin
- Deep CDR™Teknolojisi ,
- MetaDefender Core
