案例背景
国内某高科技公司,属于知识密集型企业。拥有业界领先的技术和众多专利。企业部署了防病毒软件、邮件安全网关、防火墙等传统安全产品,另外还部署了绿盟公司NGTP解决方案。这次安全事件,NGTP解决方案中的威胁发现模块TAC检测到了高级威胁,成功化解了此次有针对性的鱼叉攻击。
攻击事件回放
这次攻击时一次典型的鱼叉式攻击。通过对内部员工定向发送含有恶意程序附件的邮件,该附件为远端控制主程序的下载程序,通过诱使收件人点击该附件后下载远端主程序,达到后续的远端控制。
TAC检测到的带有恶意软件的邮件统计:
邮件主题主要为:
Shareholder alert/Hope this e-mail finds You well./You Have a New Fax Message
邮件内容:
经过分析的恶意软件工作原理:
恶意软件是有目的的攻击,针对这家科技企业的防病毒软件做了检测逃逸,不能被防病毒软件查杀。员工收下带有恶意软件的邮件,一旦点击执行了恶意软件,就会被安装木马。其执行过程如下:
1. 生成新的文件
2. 下载较大的恶意软件
3. 逃避沙箱检测
4. 进行进程注入
5. 查找浏览器
6. 劫持浏览器,窃取数据
NGTP解决方案中的威胁分析模块TAC,及时发现了邮件中高级恶意软件,成功避免了企业敏感信息的外泄。
