在企业网络安全实战场景中,腾讯NTA多次拦截高危邮件攻击和0day漏洞攻击。腾讯NTA检测某重保单位疑似收到钓鱼攻击邮件,后查明攻击者伪装成“五一”放假通知、“五一”劳动节福利、“五一”劳动节值班等引诱企业员工打开精心制作的网络钓鱼电子邮件附件。攻击者发送的钓鱼邮件影响了不同公司的数百名员工,部分员工被招募来访问恶意附件。腾讯安全专家团队对腾讯NTA抓获的钓鱼邮件进行分析后发现,其攻击方式为“白加黑”:由带有自身数字签名的白色文件发起恶意黑色文件(.dll)。通过一系列的中间过程,受害计算机会下载并运行一款知名的渗透测试工具CobaltStrike,这是一款功能强大的远程控制软件。腾讯安全专家服务团队通过逆向分析发现了一系列被攻击者使用的C2服务器IP。立即通过腾讯天目屏蔽这些IP,即使内网个人用户上当受骗,攻击者推出的远程控制软件也没用。
