OneNote 正在被更多的恶意软件攻击者使用
微软默认禁用宏代码策略的生效,越来越多的攻击者开始使用 OneNote 文档来分发恶意软件。本文介绍了几个使用 OneNote 文档的案例,展示了攻击者如何使用该类文件进行攻击。
为什么选择 OneNote
由于 OneNote 使用范围很广、用户对该类文件缺乏安全意识和保护措施,OneNote 文档对于攻击者来说已经成为越来越有吸引力的攻击载体。攻击者利用混淆内容与 OneNote 的受信任身份来进行攻击,这种转变的具体原因包括:
- 安全措施的增强:由于对基于宏代码的攻击认识不断提高,许多组织已经采取了很多措施来阻止此类攻击。2022 年 7 月,微软正式宣布在所有 Office 应用程序上默认禁用宏代码,这使得恶意软件分发的可靠性下降。
- OneNote 的广泛使用:OneNote 作为广泛使用的应用程序,并且能够嵌入不同类型的内容。OneNote 预装在所有 Office 程序的安装程序中,这意味着即使用户并不使用 OneNote 也可以利用该类文件进行攻击。
- 缺乏安全意识:OneNote 的攻击并不像基于宏代码的攻击那样广为人知,组织可能并没有足够的安全措施来预防此类攻击。
- 规避技术:Windows 会对从互联网下载的文件进行 Web 标记,但 OneNote 并不会受此影响。攻击者可以嵌入可执行文件或者启用宏代码的文档,这都不会触发系统的安全告警。
- 受信任的应用程序:由于 OneNote 是受信任的应用程序,用户很容易上当。并且,OneNote 也更容易与其他微软的产品(如 Office、OneDrive 等)进行集成。
