File Microsoft OneNote yang tampaknya tidak berbahaya telah menjadi format file populer yang digunakan oleh peretas untuk menyebarkan malware dan menembus jaringan perusahaan. Berikut cara memblokir lampiran phishing OneNote yang berbahaya agar tidak menginfeksi Windows.
Untuk memberikan sedikit latar belakang tentang bagaimana kami mendapatkan file Microsoft OneNote menjadi alat pilihan untuk serangan phishing yang mendistribusikan malware, pertama-tama kami perlu menjelaskan bagaimana kami sampai di sini.
Pelaku ancaman telah menyalahgunakan makro dalam dokumen Microsoft Word dan Excel selama bertahun-tahun untuk mengunduh dan memasang malware di perangkat Windows.
Setelah Microsoft akhirnya menonaktifkan makro secara default dalam dokumen Word dan Excel Office, pelaku ancaman mulai beralih ke format file lain yang jarang digunakan untuk mendistribusikan malware, seperti file ISO dan arsip ZIP yang dilindungi kata sandi.
Ini adalah format file yang populer karena bug Windows memungkinkan file dalam gambar ISO melewati peringatan keamanan Mark-of-the-Web (MoTW), dan utilitas arsip 7-Zip yang populer tidak menyebarkan tanda MoTW ke file yang diekstrak dari arsip ZIP.
Namun, setelah keduanya 7-Zip Dan Jendela diperbaiki bug ini, Windows sekali lagi mulai menampilkan peringatan keamanan yang menakutkan ketika pengguna mencoba membuka file dalam file ISO dan ZIP yang diunduh, menyebabkan pelaku ancaman menemukan format file lain untuk digunakan dalam serangan.
Sumber: BleepingComputer
Sejak pertengahan Desember, pelaku ancaman telah beralih ke format file lain untuk mendistribusikan malware – lampiran Microsoft OneNote.
Mengapa Microsoft OneNote?
Lampiran Microsoft OneNote menggunakan ‘.satu‘ ekstensi file dan merupakan pilihan yang menarik, karena mereka tidak mendistribusikan malware melalui makro atau kerentanan.
Sebaliknya, pelaku ancaman membuat template rumit yang tampak seperti dokumen yang dilindungi dengan pesan untuk ‘mengklik dua kali’ elemen desain untuk melihat file, seperti yang ditunjukkan di bawah ini.
Sumber: BleepingComputer
Namun, apa yang tidak Anda lihat dari lampiran di atas adalah bahwa ‘Klik Dua Kali untuk Melihat File’ sebenarnya menyembunyikan serangkaian file tersemat yang berada di bawah lapisan tombol, seperti yang diilustrasikan di bawah ini.
Sumber: BleepingComputer
Saat mengklik dua kali pada tombol, Anda mengklik dua kali pada file yang disematkan dan menyebabkan file diluncurkan.
Meskipun mengklik dua kali file yang disematkan akan menampilkan peringatan keamanan, seperti yang kita ketahui dari serangan phishing sebelumnya yang menyalahgunakan makro Microsoft Office, pengguna biasanya mengabaikan peringatan dan membiarkan file tetap berjalan.
Sayangnya, Anda hanya perlu satu pengguna untuk secara tidak sengaja mengizinkan file berbahaya dijalankan untuk seluruh jaringan perusahaan agar dikompromikan dalam serangan ransomware yang meledak-ledak.
Dan ini tidak teoretis, karena dalam beberapa kampanye QakBot Microsoft OneNote, peneliti keamanan telah menemukan bahwa mereka pada akhirnya menyebabkan serangan ransomware, seperti Black Bastapada jaringan yang disusupi.
Cara memblokir file berbahaya Microsoft OneNote
Cara terbaik untuk mencegah lampiran jahat Microsoft OneNote menginfeksi Windows adalah dengan memblokir ‘.satu‘ ekstensi file di gateway email aman atau server email Anda.
Namun, jika itu tidak memungkinkan untuk lingkungan Anda, Anda juga dapat menggunakan kebijakan grup Microsoft Office untuk membatasi peluncuran lampiran file yang disematkan di file Microsoft OneNote.
Pertama, instal Templat kebijakan grup Microsoft 365/Microsoft Office untuk memulai dengan kebijakan Microsoft OneNote.
Sekarang setelah kebijakan diinstal, Anda akan menemukan kebijakan Microsoft OneNote baru bernama ‘Nonaktifkan file yang disematkan’ dan ‘Ekstensi yang Diblokir File yang Disematkan’, seperti yang ditunjukkan di bawah ini.
Sumber: BleepingComputer
The ‘Nonaktifkan file yang disematkan‘ kebijakan grup adalah yang paling ketat karena mencegah semua file OneNote yang disematkan diluncurkan. Anda harus mengaktifkan opsi ini jika Anda tidak memiliki kasus penggunaan untuk menggunakan lampiran OneNote yang disematkan.
“Untuk menonaktifkan kemampuan menyematkan file di halaman OneNote, sehingga orang tidak dapat mengirimkan file yang mungkin tidak tertangkap oleh perangkat lunak anti-virus, dll,” baca deskripsi kebijakan grup.
Sumber: BleepingComputer
Saat diaktifkan, kunci Registri Windows berikut akan dibuat. Perhatikan bahwa jalurnya mungkin berbeda tergantung pada versi Microsoft Office Anda.
Editor Registri Windows Versi 5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options]
“disableembeddedfiles”=dword:00000001
Sekarang, saat pengguna mencoba membuka lampiran apa pun yang disematkan di dokumen Microsoft OneNote, mereka akan menerima kesalahan berikut.
Sumber: BleepingComputer
Opsi yang tidak terlalu membatasi, tetapi berpotensi lebih tidak aman, adalah ‘File yang Disematkan Ekstensi yang Diblokir‘ kebijakan grup, yang memungkinkan Anda memasukkan daftar ekstensi file tersemat yang akan diblokir agar tidak dibuka di dokumen Microsoft OneNote.
“Untuk menonaktifkan kemampuan pengguna di organisasi Anda agar tidak dapat membuka lampiran file dari jenis file tertentu dari halaman Microsoft OneNote, tambahkan ekstensi yang ingin Anda nonaktifkan menggunakan format ini: ‘.ext1;.ext2;’, ” membaca deskripsi kebijakan.
“jika Anda ingin menonaktifkan pembukaan lampiran apa pun dari halaman OneNote, lihat kebijakan Nonaktifkan file yang disematkan. Anda tidak dapat memblokir rekaman audio dan video yang disematkan (WMA & WMV) dengan kebijakan ini sebagai gantinya merujuk pada kebijakan Nonaktifkan file yang disematkan.”
Sumber: BleepingComputer
Saat diaktifkan, kunci Registri Windows berikut akan dibuat dengan daftar ekstensi yang diblokir yang Anda masukkan.
Editor Registri Windows Versi 5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options\embeddedfileopenoptions]
“blockedextensions”=”.js;.exe;.bat;.vbs;.com;.scr;.cmd;.ps1″
Sekarang, saat pengguna mencoba membuka ekstensi file yang diblokir di dokumen Microsoft OneNote, mereka akan menerima kesalahan berikut.
Sumber: BleepingComputer
Beberapa ekstensi file yang disarankan untuk diblokir adalah .js, .exe, .com, .cmd, .scr, .ps1, .vbsDan .lnk. Namun, karena pelaku ancaman menemukan ekstensi file baru untuk disalahgunakan, daftar ini mungkin dilewati oleh jenis file berbahaya lainnya.
Meskipun memblokir jenis file apa pun tidak selalu merupakan solusi sempurna karena persyaratan lingkungan, hasil dari tidak melakukan apa pun untuk membatasi penyalahgunaan file Microsoft OneNote bisa menjadi lebih buruk.
Oleh karena itu, sangat disarankan untuk memblokir lampiran OneNote, atau setidaknya penyalahgunaan jenis file yang disematkan, di lingkungan Anda untuk mencegah serangan siber.
