在企業(yè)網(wǎng)安實(shí)戰(zhàn)場景，騰訊NTA多次截獲高危郵件攻擊及0day漏洞攻擊。

騰訊NTA檢測到某重保單位疑似收到釣魚攻擊郵件，后查明，攻擊者偽裝成“五一”放假通知、“五一”勞動(dòng)節(jié)福利、“五一”勞動(dòng)節(jié)值班等不同主題，引誘企業(yè)員工打開精心構(gòu)造的釣魚郵件附件。攻擊者群發(fā)的釣魚郵件影響不同企業(yè)數(shù)百名員工，有個(gè)別員工中招訪問了惡意附件。

騰訊安全專家團(tuán)隊(duì)對(duì)騰訊NTA捕捉到的釣魚郵件進(jìn)行分析，發(fā)現(xiàn)攻擊方式為“白加黑”：由自帶數(shù)字簽名的白文件啟動(dòng)惡意黑文件（.dll）。

通過一系列中間過程，受害電腦會(huì)下載運(yùn)行一個(gè)公開知名的滲透測試工具Cobalt Strike，這是一個(gè)功能強(qiáng)大的遠(yuǎn)程控制軟件。騰訊安全專家服務(wù)團(tuán)隊(duì)通過逆向分析發(fā)現(xiàn)攻擊者使用的一系列C2服務(wù)器IP。將這些IP立即通過騰訊天幕封禁，即使內(nèi)網(wǎng)有個(gè)別用戶中招，攻擊者投放的遠(yuǎn)程控制軟件已無用武之地。