案例背景

國內某高科技公司，屬于知識密集型企業。擁有業界領先的技術和眾多專利。企業部署了防病毒軟件、郵件安全網關、防火墻等傳統安全產品，另外還部署了綠盟公司NGTP解決方案。這次安全事件，NGTP解決方案中的威脅發現模塊TAC檢測到了高級威脅，成功化解了此次有針對性的魚叉攻擊。

攻擊事件回放

這次攻擊時一次典型的魚叉式攻擊。通過對內部員工定向發送含有惡意程序附件的郵件，該附件為遠端控制主程序的下載程序，通過誘使收件人點擊該附件后下載遠端主程序，達到后續的遠端控制。

TAC檢測到的帶有惡意軟件的郵件統計：

郵件主題主要為：

Shareholder alert/Hope this e-mail finds You well./You Have a New Fax Message

郵件內容：

經過分析的惡意軟件工作原理：

惡意軟件是有目的的攻擊，針對這家科技企業的防病毒軟件做了檢測逃逸，不能被防病毒軟件查殺。員工收下帶有惡意軟件的郵件，一旦點擊執行了惡意軟件，就會被安裝木馬。其執行過程如下：

1. 生成新的文件

2. 下載較大的惡意軟件

3. 逃避沙箱檢測

4. 進行進程注入

5. 查找瀏覽器

6. 劫持瀏覽器，竊取數據

NGTP解決方案中的威脅分析模塊TAC，及時發現了郵件中高級惡意軟件，成功避免了企業敏感信息的外泄。