案例背景

國內(nèi)某高科技公司，屬于知識(shí)密集型企業(yè)。擁有業(yè)界領(lǐng)先的技術(shù)和眾多專利。企業(yè)部署了防病毒軟件、郵件安全網(wǎng)關(guān)、防火墻等傳統(tǒng)安全產(chǎn)品，另外還部署了綠盟公司NGTP解決方案。這次安全事件，NGTP解決方案中的威脅發(fā)現(xiàn)模塊TAC檢測到了高級(jí)威脅，成功化解了此次有針對(duì)性的魚叉攻擊。

攻擊事件回放

這次攻擊時(shí)一次典型的魚叉式攻擊。通過對(duì)內(nèi)部員工定向發(fā)送含有惡意程序附件的郵件，該附件為遠(yuǎn)端控制主程序的下載程序，通過誘使收件人點(diǎn)擊該附件后下載遠(yuǎn)端主程序，達(dá)到后續(xù)的遠(yuǎn)端控制。

TAC檢測到的帶有惡意軟件的郵件統(tǒng)計(jì)：

郵件主題主要為：

Shareholder alert/Hope this e-mail finds You well./You Have a New Fax Message

郵件內(nèi)容：

經(jīng)過分析的惡意軟件工作原理：

惡意軟件是有目的的攻擊，針對(duì)這家科技企業(yè)的防病毒軟件做了檢測逃逸，不能被防病毒軟件查殺。員工收下帶有惡意軟件的郵件，一旦點(diǎn)擊執(zhí)行了惡意軟件，就會(huì)被安裝木馬。其執(zhí)行過程如下：

1. 生成新的文件

2. 下載較大的惡意軟件

3. 逃避沙箱檢測

4. 進(jìn)行進(jìn)程注入

5. 查找瀏覽器

6. 劫持瀏覽器，竊取數(shù)據(jù)

NGTP解決方案中的威脅分析模塊TAC，及時(shí)發(fā)現(xiàn)了郵件中高級(jí)惡意軟件，成功避免了企業(yè)敏感信息的外泄。