꿈을꾸는 파랑새

마이크로소프트 윈노트(One Note)는 Microsoft사에서 개발한 소프트웨어이며 전자 필기장을 만들어 텍스트 및 멀티미디어를 삽입하고 모은 자료를 일목요연하게 정리할 수 있는 것이 특징입니다. 최근에 악성코드 제작자들이 가장 많이 사용을 하는 것이 윈노트(OneNote) 입니다. 해당 방법은 간단합니다.피싱 첨부 파일이 있는 파일을 통해서 윈도우를 감염을 시키는 방식을 사용하고 있으며 여기서 왜 갑자기 악성코드 제작들이 엑셀, 워드에서 원노트을 가지고 하는지부터 알아야 할 것입니다.
이후 악성코드 제작자들은 이제는 ISO 파일 및 암호로 보호된 ZIP 과와 같이 덜 일반적으로 사용되는 다른 파일 형식을 사용하여 맬웨어를 배포하기 시작을 했습니다.
이유 워드, 엑셀은 악성코드를 실행하기 위해서 매크로라는 것을 실행해야 하지만 이것을 업데이틀 통해서 기본적으로 비활성화해서 사용을 하지 말라고 하고 있으니 방법을 바꾸어서 배포한다고 생각을 하시면 됩니다.
윈도우 버그로 말미암아 ISO 이미지의 파일이 MoTW(Mark-of-the-Web) 보안 경고를 우회할 수 있고 인기 있는 7-Zip 유틸리티 그리고 7-Zip 아카이브 유틸리티가 ZIP 아카아브에서 추출한 파일에 MoTW 플래그는 전파하지 않습니다.
여기서 7-Zip 과 윈도우 가 이러한 버그를 수정하고 사용자가 다운로드한 ISO 및 ZIP 파일의 파일을 열려고 시도할 때 윈도우 는 다시 한 번 무서운 보안 경고를 표시하기 시작하여 공격자가 공격에 사용할 다른 파일 형식을 찾도록 했으며 여기서 찾은 것은 Microsoft OneNote 첨부 파일을 사용하는 것입니다.

Microsoft 365/Microsoft Office 그룹 정책 템플릿

로컬 그룹 정책 편집기 원노트 정책 수정
로컬 그룹 정책 편집기 원노트 정책 수정

왜 Microsoft OneNote인가 라는 의문이 들것입니다. 이유는 Microsoft OneNote 첨부 파일은. one 파일 확장자를 사용하며 매크로나 취약점을 통해 악성코드를 배포하지 않습니다.
두 번 클릭 하라는 메시지와 함께 보호된 문서로 보이는 복잡한 템플릿을 만들고 문제는 버튼 레이어 아래에 있는 일련의 포함된 파일을 숨기는 것이 가능하기 때문입니다.
즉 사용자는 악성코들 실행하게 하는 것입니다.

원노트 포함된 파일 사용 안 함
원노트 포함된 파일 사용 안 함

이것이 BlackBasta, Microsoft OneNote QakBot  랜섬웨어 들이면 이것을 해결하는 방법은 생각보다 간단합니다.
파일 확장자를 차단하면 됩니다.
그러나 환경에서 이것이 가능하지 않았으면 Microsoft Office 그룹 정책을 사용하여 Microsoft OneNote 파일에 포함된 첨부 파일 실행을 제한할 수도 있습니다. 먼저 여기서 Microsoft 365/Microsoft Office 그룹 정책 템플릿을 설치하여 Microsoft OneNote 정책을 시작합니다.

[소프트웨어 팁] - 윈도우 11 홈 버전 로컬 그룹 편집기 사용 방법

 

윈도우 11 홈 버전 로컬 그룹 편집기 사용 방법

오늘은 윈도우 11 홈 버전에서 로컬 그룹 편집기 사용 방법에 대해 알아보겠습니다. 일단 해당 방법은 윈도우 10 에서도 적용이 되는 방법으로 윈도우 10 사용자도 사용할 수가 있으며 그리고 윈

wezard4u.tistory.com

그리고 나서 로컬 컴퓨터의 C:\Windows\PolicyDefinitions 에 잘 넣어 줍니다.
에 gpedit.msc를 실행을 해서 Microsoft OneNote 정책을 열어 줍니다.
포함된 파일 사용 안 함 그룹 정책은 모든 포함된 OneNote 파일이 실행되는 것을 방지하므로 가장 제한적
여기서 그룹 정책 설명에는 OneNote 페이지에 파일을 포함할 수 있는 기능을 사용할 수 없도록 설정하여 사용자가 바이러스 백신 소프트웨어 등에 의해 발견되지 않는 파일을 전송할 수 없도록 합니다. 참고: 이 정책은 OneNote UI에 포함된 파일만을 제한합니다. 페이지에 포함된 파일은 파일 시스템에서 계속 동기화되고 복제됩니다. 돼 있을 것입니다.

원 노트 포함된 파일 확장명 차단
원 노트 포함된 파일 확장명 차단

활성화되면 다음 Windows 레지스트리 키가 생성됩니다. 경로는 Microsoft Office 버전에 따라 다름
덜 제한적이지만 잠재적으로 더 안전하지 않은 옵션은 포함된 파일 차단 확장명 그룹 정책을 사용하는 방법입니다.
내용은 다음과 같습니다.
조직의 사용자가 Microsoft OneNote 페이지에서 특정 파일 형식의 첨부 파일을 여는 기능을 사용할 수 없도록 하려면 사용하지 않도록 설정할 확장 명을 ".ext1;.ext2;" 형식으로 추가합니다. OneNote 페이지에서 모든 첨부 파일을 열지 못하도록 하려면 포함된 파일 사용 안 함 정책을 참고하십시오. 포함된 파일 사용 안 함 정책을 사용하지 않으면 이 정책으로 포함된 오디오 및 비디오 파일(WMA 및 WMV)을 차단할 수 없습니다.
활성화하면 입력한 차단 확장 목록과 함께 다음 Windows 레지스트리 키가 생성될 것입니다.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options]
"disableembeddedfiles"=dword:00000001
이제 사용자가 Microsoft OneNote 문서에서 차단된 파일 확장명을 열려고 하면 차단이 될 것이면 경고 메시지가 나올 것입니다.
차단할 몇 가지 제안된 파일 확장자는. js,. exe ,.com ,.cmd ,.scr,.ps1,.vbs,.lnk 이며 그러나 공격자가 남용할 새 파일 확장자를 발견하면 다른 악성 파일 유형을 우회를 시도 할것입니다.모든 파일 형식을 차단하는 것이 환경 요구 사항으로 말미암아 항상 완벽한 솔루션 아님
Microsoft OneNote 파일의 남용을 제한하기 위해 아무 조치도 취하지 않으면 결과가 더욱 악화할 수 있음
OneNote 첨부 파일 또는 최소한 포함된 파일 형식의 남용을 차단하는 것이 좋음
그리고 기본적인 보안 수칙을 지키는 것을 추천하면 보안 프로그램 백신 프로그램(안티바이러스)을 설치하고 보안수칙을 지키는 것이 안전합니다.

728x90
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band