在企業(yè)網(wǎng)安實(shí)戰(zhàn)場(chǎng)景，騰訊NTA多次截獲高危郵件攻擊及0day漏洞攻擊。

騰訊NTA檢測(cè)到某重保單位疑似收到釣魚(yú)攻擊郵件，后查明，攻擊者偽裝成“五一”放假通知、“五一”勞動(dòng)節(jié)福利、“五一”勞動(dòng)節(jié)值班等不同主題，引誘企業(yè)員工打開(kāi)精心構(gòu)造的釣魚(yú)郵件附件。攻擊者群發(fā)的釣魚(yú)郵件影響不同企業(yè)數(shù)百名員工，有個(gè)別員工中招訪問(wèn)了惡意附件。

騰訊安全專(zhuān)家團(tuán)隊(duì)對(duì)騰訊NTA捕捉到的釣魚(yú)郵件進(jìn)行分析，發(fā)現(xiàn)攻擊方式為“白加黑”：由自帶數(shù)字簽名的白文件啟動(dòng)惡意黑文件（.dll）。

通過(guò)一系列中間過(guò)程，受害電腦會(huì)下載運(yùn)行一個(gè)公開(kāi)知名的滲透測(cè)試工具Cobalt Strike，這是一個(gè)功能強(qiáng)大的遠(yuǎn)程控制軟件。騰訊安全專(zhuān)家服務(wù)團(tuán)隊(duì)通過(guò)逆向分析發(fā)現(xiàn)攻擊者使用的一系列C2服務(wù)器IP。將這些IP立即通過(guò)騰訊天幕封禁，即使內(nèi)網(wǎng)有個(gè)別用戶(hù)中招，攻擊者投放的遠(yuǎn)程控制軟件已無(wú)用武之地。