腾讯零信任重保客户实战场景iOA腾讯安全专家团队立即检查了多个终端用户点击可疑电子邮件附件的行为,导致部分终端丢失。发现攻击者通过电子邮件投资伪装成“五一”值班表的恶意文件。
分析发现,这些文件使用了更常用的白加黑攻击技巧。双击上图中的伪装PDF的EXE文件会引起恶意ShellCode,攻击者每半小时执行一次,试图从C2服务器将恶意文件下载到内存执行,攻击者使用域名前置技术(domainfronting)隐藏C2的真实IP。通过一系列复杂的操作,受害者一次打开危险附件后,将安装功能强大的渗透试验工具CobaltStrike对于失陷系统,这是一款功能强大的远程控制软件,分析发现这款远程控制软件也采用了域名前置技术,从而增加了检测难度。
腾讯零信任配置在终端系统中iOA在场景中,由于管理员配备了多因素身份验证,即使攻击者在失陷系统中安装了远程控制木马,也很难利用攻击者身份在内网上横向传播。因为在权限验证中,攻击者无法获得相应的验证信息,如微信扫描代码或动态密码验证。
腾讯零信任iOA通过整合腾讯的安全威胁情报能力,快速检测失陷主机的危险连接行为,不再满足设备的可信条件。该设备被迅速离线隔离,无法访问内部网络中的任何其他资源,并立即暂停失陷威胁。终端操作员在安全操作人员修复设备以确保系统再次可信后恢复正常使用。