攻击者如何将 AI 语音克隆技术应用于微软 Teams 攻击

微软 Teams 的跨租户协作功能允许外部帐户直接向员工发送消息，该功能在大多数企业部署中默认启用。大多数组织从未对其进行审核或限制。这种默认设置已成为安全团队目前需要应对的最可靠的社交工程攻击入口之一。

这种攻击手法很简单。攻击者创建一个外部 Teams 帐户，通过 LinkedIn 或公司目录找到目标，然后冒充 IT 服务台人员发送消息。消息中会声称存在紧急帐户问题（例如多因素身份验证问题、安全警报或登录失败），并要求员工打开 Microsoft 内置的远程协助工具“快速协助”，并批准会话。

最近的变化是在最初接触的基础上增加了一层：AI 生成的声音，听起来像是目标对象已经认识的人的声音。

基础攻击链是如何展开的

一旦建立了快速协助访问权限，攻击就会遵循一致的顺序：

通过命令提示符和 PowerShell 进行侦察，以绘制环境图并评估访问级别。
恶意软件通过 DLL 侧加载进行传播，将恶意代码隐藏在受信任的应用程序进程中以逃避检测。
通过注册表修改实现持久性，即使重启后仍然存在
通过 HTTPS 进行命令和控制，与正常网络流量混合
通过 Windows 远程管理 (WinRM) 向域控制器进行横向移动
使用 Rclone 等工具进行数据收集和泄露，并自动优先处理高价值文件。

这里的所有组件都是标准的微软工具。无需任何新型漏洞利用程序或定制恶意软件。攻击的有效性完全取决于攻击者在最初几分钟内做出的决策。

AI 语音层

AI 语音合成工具可以根据录制的音频样本生成语音副本。不同工具的合成质量和所需样本长度各不相同；通常，要获得高质量的合成效果，需要30秒到几分钟的干净音频源。这类音频比大多数人想象的更容易找到：录制的网络研讨会、会议演讲、LinkedIn视频、财报电话会议和公开播客节目都是可行的音频来源。

在这种攻击的升级版中，攻击者首先通过 Teams 消息与目标联系。随后会打来电话，对方的声音听起来像是目标内部某个熟人，通常是 IT 总监、经理或高管。对于见过此人的目标来说，这确实是一个很难快速判断的信号，尤其当来电者语气急迫并提及目标自身职业经历中的具体细节时。

2024年发生在工程公司奥雅纳(Arup)的一起事件，展现了这种攻击能力的极限。一名员工在一次视频会议后授权转账2500万美元，会议中使用了深度伪造技术，伪造了多位同事的音频和视频。该案例同时使用了视频和音频合成技术。相比之下，仅音频攻击所需的设置要少得多，而且更容易针对单个员工实施。

这种组合之所以有效，原因很简单：员工对突如其来的电子邮件已经产生了合理的怀疑。语音通话则具有另一种社会权威性。一个熟悉的声音打来确认紧急请求，可以缩短员工做出安全决策的时间。

检测变得复杂的地方

大多数行为检测工具旨在检测异常操作。员工打开快速协助会话并执行标准的 Windows 管理命令本身不会触发警报。UEBA 和 PAM 工具可以标记向域控制器的横向移动，而配置严格的环境则会捕获来自意外来源的 WinRM 流量。

从首次访问系统到开始横向移动之间的10到15分钟通常是关键的过渡时间，在此期间，所有观察到的活动看起来都像是合法的IT工作。员工的决策在这段时间内至关重要，而技术环境和现有培训通常都无法让他们做好充分的准备。

持续有效的控制措施

审核跨租户 Teams 访问权限。微软管理中心可以轻松查看和限制哪些员工可以接收来自外部帐户的消息。首先限制财务、法务和 IT 等高风险岗位，可以消除此类攻击模式的主要传播渠道。
在终端级别限制快速协助。组策略可以限制快速协助，使其会话只能由指定的 IT 帐户发起。这样可以消除主要的访问方式，同时最大限度地减少对合法支持工作流程的影响。
严格限制 Windows 远程管理 (WinRM) 的访问权限。将 WinRM 的访问权限限制在特定的跳转服务器和受监控的管理工作站上，可以显著减少初始访问后的横向移动选择。这是一项有效的配置更改，有助于降低各种攻击模式带来的风险。
建立一套针对远程访问请求的辅助验证机制。通过预先建立的已知内部渠道（例如公司通讯录中的号码或内部工单系统）确认任何远程会话请求，可以增加一个易于实施的步骤。随着语音合成工具的普及，该验证步骤的设计也应考虑到伪造音频的可能性。
专门针对协作平台威胁进行培训。明确告知员工贵公司合法的 IT 请求应具备哪些特征，包括 IT 部门不会通过未经请求的 Teams 消息发起快速协助会话，这能为员工提供具体的参考标准，以便他们在实际操作中评估此类互动。目前大多数安全意识培训项目并未涵盖这一模式。
在攻击发生前进行模拟演练。通过 Teams 进行受控的客服人员角色扮演演练（可选择后续语音通话），可以识别出员工风险集中的领域。开展此类演练的安全团队总能发现一些仅凭策略审查无法预见的漏洞。