在再保险客户的实战场景中,腾讯零信iOA检测到终端用户多次点击可疑邮件附件,导致部分终端被攻破。腾讯安全专家团队第一时间对被攻陷的系统进行了排查。发现攻击者通过邮件投放了伪装成“五一”值班清单的恶意文件。分析发现,这些文件使用了较为常用的黑白攻击技术。双击上图中伪装成PDF的EXE文件,会触发恶意ShellCode。攻击者每半小时执行一次,试图将恶意文件从C2服务器下载到内存中执行。攻击者使用域前端技术(domainfronting)来隐藏C2的真实IP。通过一系列复杂的操作,受害者打开一次危险附件后,强大的渗透测试工具CobaltStrike就会被安装到被攻陷的系统上。这是一款功能强大的远程控制软件。分析发现,该远程控制软件还采用了域名前置技术,增加了检测难度。在终端系统配置腾讯零信任iOA的场景下,由于管理员配置了多因素认证,即使攻击者在被攻陷系统上安装远程控制木马,也很难冒充攻击者身份横向传播在内网上。因为在进行权限验证时,攻击者无法获取到相应的验证信息,比如微信扫码或者动态密码验证等。腾讯零信任iOA通过集成的腾讯安全威胁情报能力,快速检测出被攻陷主机的危险连接行为,不再满足设备可信条件。威胁立即停止。终端操作人员在安全操作人员修复设备后恢复正常使用,确保系统再次被信任。
