在重保客戶實戰(zhàn)場景，騰訊零信任iOA檢測到多次終端用戶有點擊可疑郵件附件的行為，部分終端因此失陷，騰訊安全專家團隊立刻對失陷系統(tǒng)進行檢查。發(fā)現(xiàn)攻擊者通過郵件投資偽裝成“五一”值班表的惡意文件。

分析發(fā)現(xiàn)，這些文件利用了較常用的白加黑攻擊技巧。雙擊上圖那個偽裝成PDF的EXE文件，會觸發(fā)惡意ShellCode，攻擊者第半小時執(zhí)行一次，嘗試從C2服務(wù)器下載惡意文件到內(nèi)存執(zhí)行，攻擊者采用域名前置技術(shù)（domain fronting）隱藏C2的真實IP。通過一系列復(fù)雜的操作，在受害者一次打開危險附件后，會安裝功能強大的滲透測試工具Cobalt Strike到失陷系統(tǒng)，這是一個功能強大的遠程控制軟件，分析發(fā)現(xiàn)這個遠程控制軟件同樣使用域名前置技術(shù)，從而增加了檢測難度。

在終端系統(tǒng)配置騰訊零信任iOA的場景下，因管理員已配置多因子身份驗證，即使攻擊者在失陷系統(tǒng)安裝遠程控制木馬，也難以冒用攻擊者身份在內(nèi)網(wǎng)橫向擴散。因為在權(quán)限驗證時，攻擊者無法拿到相應(yīng)的驗證信息，比如微信掃碼或動態(tài)口令驗證。

騰訊零信任iOA通過集成的騰訊安全威脅情報能力，迅速檢測出失陷主機有危險連接行為，已不符合設(shè)備可信條件，該設(shè)備被迅速隔離下線，已無法訪問內(nèi)網(wǎng)中其他任何資源，失陷威脅立刻中止。終端操作員在安全運維人員修復(fù)設(shè)備確保系統(tǒng)再次可信后恢復(fù)正常使用。