看似无害的微软OneNote文件现已成为了黑客们用来传播恶意软件、闯入公司网络的一种流行文件格式。本文介绍了如何阻止恶意的OneNote网络钓鱼附件感染Windows。

为了了解微软OneNote文件如何成为分发恶意软件的网络钓鱼攻击的首选工具，我们先要解释背景知识。

年来，威胁分子一直在滥用微软Word文档和Excel文档中的宏，在Windows设备上下载并安装恶意软件。

在微软终于默认禁用了Word和Excel Office文档中的宏之后，威胁分子开始转而将目光投向其他不太常用的文件格式来分发恶意软件，比如ISO文件和受密码保护的ZIP压缩文件。

这些都是流行的文件格式，Windows的一个漏洞允许ISO映像中的文件绕过Web标记（MoTW）安全警告，而流行的7-Zip压缩实用工具并不将MoTW标志传播到从ZIP压缩包中提取的文件。

然而，在7-Zip和Windows都修复了这些错误之后，当用户试图打开已下载的ISO文件和ZIP压缩包中的文件时，Windows再次开始显示可怕的安全警告，促使威胁分子寻找用于攻击的另一种文件格式。

图1. Windows Web标记安全警告（图片来源：BleepingComputer）

自去年12月中旬以来，威胁分子已将目光投向了另一种文件格式来分发恶意软件：微软OneNote附件。

微软OneNote附件使用“.one”文件扩展名，威胁分子选择它令人玩味，因为他们并不通过宏或漏洞来分发恶意软件。

相反，威胁分子创建复杂的模板，这些模板看起来像是受保护的文档，带有“双击”设计元素以查看文件的消息，如下所示。

图2. 恶意的微软OneNote附件（图片来源：BleepingComputer）

不过从上面附件中看不到的一点是，“双击以查看文件”实际上隐藏了一系列位于按钮层下面的嵌入式文件，如下图所示。

图3. 隐藏的OneNote附件（图片来源：BleepingComputer）

双击按钮时，实际上你是在双击嵌入的文件，导致该文件启动。

虽然双击嵌入式文件会显示安全警告，但正如我们从以前滥用微软Office宏的网络钓鱼攻击中所知，用户通常会忽略警告，无论如何会允许文件运行。

不幸的是，只要有一个用户不小心允许恶意文件运行，整个公司网络就会在一次全面的勒索软件攻击中被攻陷。

这并不是理论上的攻击，因为安全研究人员在一些微软OneNote QakBot活动中已发现，它们最终导致了中招的网络遭到勒索软件攻击，比如BlackBasta。

要防止恶意的微软OneNote附件感染Windows，最佳方法就是在安全邮件网关或邮件服务器层面阻止“.one”文件扩展名。

然而，如果你的环境不允许这么做，你还可以使用微软Office组策略来限制在微软OneNote文件中启动嵌入式文件附件的操作。

首先，安装微软365/微软Office组策略模板（https://www.microsoft.com/en-us/download/details.aspx?id=49030），以开始使用微软OneNote策略。

组策略安装完毕后，你会发现名为“禁用嵌入式文件”和“嵌入式文件阻止扩展名”的新微软OneNote策略，如下所示。

图4. 微软OneNote组策略（图片来源：BleepingComputer）

“禁用嵌入式文件”组策略最严格，因为它阻止所有嵌入的OneNote文件被启动。如果你没有使用嵌入式OneNote附件的正当理由，应该启用该选项。

组策略描述显示：“禁用在OneNote页面上嵌入文件的功能，以便人们无法传输可能不会被杀毒软件捕获的文件”。

图5. 禁用嵌入式文件组策略（图片来源：BleepingComputer）

启用后，将创建以下Windows注册表项。注意，路径可能因微软Office版本而异。

Windows注册表编辑器版本5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options]

"disableembeddedfiles"=dword:00000001

现在，当用户试图打开微软OneNote文档中嵌入的任何附件时，他们会收到以下错误。

图6. 所有文件附件在微软OneNote中被阻止（图片来源：BleepingComputer）

一个限制较宽松，但可能更不安全的选项是“嵌入式文件阻止扩展名”组策略，该策略允许你输入将被阻止在微软OneNote文档中打开的嵌入式文件扩展名列表。

策略描述显示：“为了阻止贵组织中的用户从微软OneNote页面打开特定文件类型的文件附件，请使用该格式：‘.ext1;.ext2;’添加想要禁止的扩展名。”

“如果你想要禁用从OneNote页面打开任何附件，请参阅禁用嵌入式文件策略。你不能使用该策略阻止嵌入式音频和视频录制内容（WMA和WMV），而是应参阅禁用嵌入式文件策略。”

图7. “嵌入式文件阻止扩展名”组策略（图片来源：BleepingComputer）

启用后，以下Windows注册表项将与你输入的阻止扩展名列表一起创建。

Windows注册表编辑器版本5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options\embeddedfileopenoptions]

"blockedextensions"=".js;.exe;.bat;.vbs;.com;.scr;.cmd;.ps1"

现在当用户试图在微软OneNote文档中打开被阻止的文件扩展名时，他们将收到以下错误。

图8. 在微软OneNote中被阻止的文件附件类型（图片来源：BleepingComputer）

建议阻止的一些文件扩展名有.js、.exe、.com、.cmd、.scr、.ps1、.vbs和.lnk。然而，当威胁分子发现新的文件扩展名可以滥用时，其他恶意文件类型可能会绕过此列表。

虽然由于环境的要求，阻止任何文件类型并不总是一种完美的解决方案，但不采取任何措施来限制滥用微软OneNote文件的情况可能会导致更糟糕的结果。

因此，强烈建议在你的环境中阻止OneNote附件或者至少阻止滥用嵌入式文件类型，以防遭到网络攻击。

参考及来源：https://www.bleepingcomputer.com/news/security/how-to-prevent-microsoft-onenote-files-from-infecting-windows-with-malware/