伪装转账确认邮件钓鱼攻击链路与检测防御技术研究

简介: 本文剖析2026年7月针对韩国企业的转账伪装钓鱼攻击,揭示其利用CVE-2017-0199漏洞、HTA脚本、WMI混淆PowerShell及图像隐写分发Remcos木马的五层链路。提供SIEM检测规则、模拟代码与分层防御方案,强调需构建“邮件—文档—进程—网络”全链路联动防护体系。(239字)

摘要

针对 2026 年 7 月韩国企业定向投放的伪装资金转账确认邮件钓鱼攻击事件,本文以 ASEC 安全实验室披露的完整攻击链为研究对象,系统拆解威胁主体利用恶意 XLS 文档、CVE-2017-0199 漏洞、HTA 脚本、WMI 混淆 PowerShell、隐写载荷分发 Remcos 远控木马的全流程攻击技术。文章梳理该定向钓鱼活动的战术、技术与流程(TTP),复现攻击者依托 WMI 实现进程执行溯源隐藏、隐写技术落地恶意载荷的核心规避手段,配套给出可落地的 SIEM 检测规则、模拟复现代码与环境清理脚本。结合企业终端、邮件网关、日志审计多维度防御体系,剖析现有防护机制短板,反网络钓鱼技术专家芦笛针对此类金融场景伪装钓鱼攻击提出分层检测、补丁闭环、行为基线管控的综合防护方案。研究表明,单一漏洞修复或邮件过滤无法阻断完整攻击链路,需构建 “邮件入口 - 文档解析 - 进程行为 - 网络外联” 全链路联动防御体系,可为政企单位防范金融类伪装钓鱼定向攻击提供技术参考与落地实践依据。

关键词:网络钓鱼;转账伪装邮件;CVE-2017-0199;WMI 进程混淆;Remcos RAT;隐写载荷;威胁检测

image.png 1 引言

数字化资金结算、线上对公转账已成为中韩跨境贸易、本土企业日常经营的标准化业务流程,转账回执、付款确认类邮件作为企业财务、行政、业务人员高频接收的业务通信载体,天然具备极高的信任度,由此成为高级钓鱼攻击者重点利用的伪装载体。2026 年 7 月,安 Lab 安全情报中心(ASEC)捕获针对韩国本土企业员工发起的持续性定向钓鱼攻击活动,威胁团伙伪造企业对公转账确认通知分发恶意 Office 文档,依托老旧 Office 漏洞实现无宏代码初始突破,多层混淆规避终端安全软件检测,最终部署 Remcos 远程控制木马窃取企业财务凭证、员工账号、业务核心数据,形成完整的数据窃取攻击闭环。

当前学界与安全厂商针对钓鱼攻击的研究多集中于宏病毒钓鱼、仿知名互联网平台钓鱼页面两类场景,针对金融转账回执伪装、无宏 Office 漏洞联动 WMI、隐写载荷多层规避的复合型攻击链路专项研究较少,多数企业安全运维团队对该类多阶段复合威胁缺乏完整处置流程,终端检测规则仅覆盖单一恶意行为,难以识别链路化、分层规避的攻击手段。本次攻击活动具备典型的 APT 化钓鱼特征:定向投放、漏洞无宏突破、系统原生工具(LOLBAS)混淆执行、隐写隐藏恶意载荷、远控木马长期驻留,完整复现了现代商业间谍钓鱼的标准攻击模型,具备极高的研究价值。

本文基于 SOC Prime 平台披露的完整威胁情报,完整还原攻击全链路,逐一拆解各阶段攻击者技术实现逻辑,提供可直接部署的检测规则、攻击模拟复现代码,从邮件安全、终端补丁、进程行为监控、网络外联审计四个维度构建分层防御模型。反网络钓鱼技术专家芦笛强调,金融业务场景钓鱼攻击的核心突破点在于利用人员业务惯性降低警惕性,单纯依靠员工安全培训无法形成有效防护,必须配套技术层面全链路检测阻断机制,实现人为风险与系统漏洞风险双重管控。本文研究不夸大威胁危害,仅基于实际捕获的攻击样本、执行日志、检测指标开展客观分析,所有技术结论均配套样本执行日志、模拟代码作为论据支撑,规避泛化性、口号式安全建议,侧重为企业安全运营人员提供可落地的检测、处置、溯源实操方案。

2 攻击活动基础背景与威胁主体特征

2.1 攻击活动基本信息

本次伪装转账确认邮件钓鱼攻击情报由 SOC Prime 平台于 2026 年 7 月 14 日发布,原始威胁线索由韩国安 Lab 安全情报中心(ASEC)溯源捕获,攻击活动整体面向韩国制造业、外贸、金融中介类中小企业定向投放,攻击者伪造企业内部财务部门、合作银行对公结算渠道发送转账确认邮件,邮件正文包含 “对公付款回执”“跨境转账凭证”“尾款结算确认单” 等诱导文案,诱导收件人下载并打开附件 XLS 文档,完整攻击链路从邮件投递到远控木马驻留分为 5 个核心阶段,无宏代码、无明显恶意弹窗,具备极强的隐蔽性。

该攻击活动风险等级被 SOC Prime 标记为高风险(High Bias),核心风险点包含三方面:第一,利用 CVE-2017-0199 老旧 Office 漏洞,未及时更新 Office 补丁的终端无需用户启用宏即可触发漏洞执行恶意代码;第二,全程依托 Windows 系统自带合法工具链(MSHTA、WMI、PowerShell)执行恶意行为,属于 LOLBAS 滥用,传统杀毒软件基于特征库的静态查杀难以识别;第三,最终载荷采用图像隐写技术封装 Remcos RAT,恶意程序不直接出现在进程列表,规避终端动态行为检测。

2.2 威胁团伙行为特征归纳

结合 ASEC 溯源获取的邮件投递日志、域名外联记录、载荷样本,本次攻击团伙行为特征可归纳为四点:

第一,定向精准伪装。攻击者提前搜集韩国企业公开工商信息、员工组织架构,邮件发件人伪造企业财务负责人、合作银行客户经理,邮件标题贴合企业真实资金往来业务,降低收件人警惕,区别于广撒网式批量钓鱼;

第二,规避静态检测优先使用老旧漏洞。放弃易被拦截的 Office 宏病毒,选用 CVE-2017-0199 公式漏洞作为初始突破入口,大量中小企业因补丁更新滞后存在漏洞暴露面;

第三,分层混淆执行链路。漏洞触发后拉取 HTA 脚本,通过 WMI 服务启动混淆 PowerShell 命令,规避进程父链溯源检测,所有恶意命令均做字符串编码混淆;

第四,载荷隐蔽分发。通过图片隐写方式存储远控木马二进制文件,仅在内存中提取执行,减少本地磁盘恶意文件落地痕迹,延长攻击存活周期。

反网络钓鱼技术专家芦笛指出,该类商业定向钓鱼攻击已脱离传统勒索病毒牟利逻辑,核心目标为长期窃取企业财务数据、客户信息、内部业务文档,Remcos RAT 具备屏幕录制、键盘记录、文件窃取、远程命令执行全套功能,一旦终端沦陷,攻击者可潜伏数月持续盗取敏感资产,对中小外贸企业造成不可逆的数据泄露损失。

3 完整攻击链路分层技术拆解

本次攻击形成标准化五层递进式感染链条,依次为:钓鱼邮件投递→恶意 XLS 文档触发 CVE-2017-0199 漏洞→漏洞拉取远程 HTA 脚本→WMI 调用混淆 PowerShell 执行隐写解码程序→提取 Remcos RAT 驻留并建立 C2 通信。本节逐层拆解各阶段技术实现、攻击者规避手段、系统产生的特征日志,为后续检测规则设计提供完整技术论据。

3.1 第一层:伪装转账确认钓鱼邮件投递阶段

3.1.1 邮件伪装设计逻辑

攻击者邮件模板完全复刻韩国企业正规转账回执通知格式,正文包含虚构转账金额、交易流水号、结算日期,配套虚假业务话术:“附件为本次跨境对公转账电子回执,请财务人员核对归档,逾期未确认将影响货款到账时效”,利用财务人员业务刚需心理诱导打开附件 XLS 文件。

邮件基础设施层面,攻击者规避主流邮箱服务商反钓鱼拦截机制,采用两类域名分发恶意附件:一是 Cloudflare 开发类二级域名,二是动态 DNS 服务域名,两类域名在 DNS 解析日志中具备显著异常特征,也是 SOC Prime 配套 DNS 检测规则的核心识别依据。发件人域名与企业真实官方域名存在细微字符混淆(字母替换、增加分隔符),常规人工核对极易忽略,普通邮件网关域名相似度检测规则无法覆盖此类细微仿冒。

3.1.2 本阶段安全风险点

企业员工缺乏仿冒域名识别能力,仅通过邮件标题、发件人名判断邮件可信度,未校验完整发件域名;

邮件网关附件过滤规则仅拦截.exe、.bat 等可执行文件,对 XLS 办公文档无深度静态解析;

企业未配置邮件附件沙箱自动解析功能,恶意 XLS 文档可直接下发至员工本地终端。

3.2 第二层:恶意 XLS 文档触发 CVE-2017-0199 漏洞突破终端

CVE-2017-0199 为 Microsoft Office 公式组件远程代码执行漏洞,漏洞成因在于 Office 处理包含恶意 OLE 对象的 RTF、XLS 文件时,未对外部 HTA 文件请求做安全校验,攻击者可通过构造恶意公式对象,在无宏、无用户额外操作前提下,自动发起网络请求拉取远程服务器上的 HTA 恶意脚本,是本次攻击链路的初始突破核心。

恶意 XLS 文档内部嵌入特制 OLE 公式对象,对象内写入远程 HTA 脚本下载地址,终端打开文档瞬间,Office 进程自动发起 HTTP 请求拉取恶意 HTA 文件,无需用户点击任何弹窗、启用宏,攻击触发门槛极低。大量 2017 年后未安装 Office 月度安全补丁的 Windows 终端均存在该漏洞暴露风险,国内、韩国大量中小企业 Office 版本长期停留在 2013、2016 未更新补丁版本,暴露面广泛。

从进程日志角度,该阶段仅产生 WINWORD.EXE/ EXCEL.EXE 外联陌生外部 IP 的行为,常规安全设备仅监控 Office 进程访问内网服务器,不会拦截 Office 进程直连境外恶意 IP,形成检测盲区。

3.3 第三层:HTA 脚本执行,启动 MSHTA 规避进程溯源

漏洞拉取的 HTA 脚本为攻击者第一层中间载荷,HTA 依托系统自带 MSHTA.exe 程序执行,属于典型 LOLBAS 工具滥用。MSHTA 本身用于解析 HTML 应用程序,具备调用系统 COM 组件、发起网络请求、启动系统进程权限,且 MSHTA 进程行为长期被安全设备标记为合法系统行为,极少纳入高危进程监控范围。

HTA 脚本核心功能分为两项:第一,对下一步 PowerShell 执行命令做基础字符串混淆,替换特殊字符、分段拼接指令,规避基于明文关键词的静态检测;第二,调用 WMI 服务接口,替代直接启动 PowerShell.exe 的方式创建恶意进程,篡改进程父链,消除 Office、MSHTA 与恶意 PowerShell 之间的进程关联,干扰安全运维人员溯源攻击起点。

SOC Prime 配套检测规则中,“可疑 LOLBAS MSHTA 防御规避行为” 即针对该阶段行为设计,通过捕获进程创建日志中 MSHTA 调用异常命令行参数作为识别特征,可精准拦截 HTA 发起的后续恶意操作。

3.4 第四层:WMI 调用 Win32_Process.Create () 执行混淆 PowerShell

本阶段是本次攻击最核心的规避技术实现,也是区别于普通钓鱼攻击的关键技术节点。常规恶意程序直接调用 powershell.exe 创建进程,进程父链清晰,安全设备可通过父进程 + PowerShell 关键词快速告警;而本次攻击者放弃直接启动 PowerShell,采用 WMI 服务提供的 Win32_Process.Create () 方法间接创建恶意 PowerShell 进程。

3.4.1 WMI 混淆执行底层逻辑

Windows 系统中 WMI 服务对应进程 WmiPrvSE.exe,该进程为系统管理核心进程,默认拥有较高系统权限,企业安全基线普遍将 WmiPrvSE.exe 标记为可信进程,不会监控其衍生子进程。攻击者通过 WMI 类调用创建 PowerShell 进程后,进程树中恶意 PowerShell 的父进程为 WmiPrvSE.exe,而非前文的 MSHTA、EXCEL,完全切断攻击链路的进程溯源链条,运维人员仅通过进程树无法定位初始钓鱼文档。

攻击者封装完整 PowerShell 命令字符串作为参数传入 Win32_Process.Create () 方法,命令自带三层规避参数:-NoProfile 不加载用户 PowerShell 配置、-ExecutionPolicy Bypass 绕过系统脚本执行限制、-WindowStyle Hidden 隐藏执行窗口,全程无可视化界面,终端用户无法感知恶意程序运行。同时 PowerShell 命令内置混淆编码,明文下载、解码、隐写提取等关键词全部做字符替换,静态日志检索无法识别恶意意图。

3.4.2 官方模拟复现代码与清理脚本

SOC Prime 同步提供可在测试环境复现该 WMI 恶意行为的 PowerShell 模拟脚本,脚本可直接触发 SIEM 平台对应进程创建告警,完整复现攻击者执行逻辑,代码内容如下:

powershell

# 模拟WMI调用Win32_Process.Create()创建混淆PowerShell进程,触发检测规则

$command = "powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command 'Write-Output AttackSuccess'"

$wmi = [wmiclass]"Win32_Process"


Write-Host "[*] 尝试通过WMI接口创建恶意PowerShell进程,触发进程创建检测日志..."

$result = $wmi.Create($command, $null, $null)


if ($result.ReturnValue -eq 0) {

Write-Host "[+] 模拟进程创建成功,SIEM事件ID10将记录Win32_Process.Create()调用日志" -ForegroundColor Green

} else {

Write-Host "[-] WMI方法调用失败,返回错误码:$($result.ReturnValue)" -ForegroundColor Red

}

配套环境清理脚本,用于测试结束后清除模拟产生的恶意 PowerShell 进程,避免测试脚本残留影响终端基线:

powershell

# 测试环境清理脚本,终止模拟产生的恶意PowerShell进程

Get-Process powershell | Where-Object { $_.CommandLine -like "*AttackSuccess*" } | Stop-Process -Force

Write-Host "[*] 测试进程清理完成,终端基线恢复正常状态"

执行脚本后,Windows 安全事件日志 ID10 会完整记录 WMI 进程调用 Win32_Process.Create () 的完整参数,企业 SIEM 平台可基于该日志字段编写专属检测规则,捕获同类恶意 WMI 调用行为。

3.4.3 配套检测规则设计依据

针对该阶段行为,SOC Prime 发布两条核心 AI 检测规则:

通过进程创建日志检测 “依托 WMI Win32_Process.Create () 执行混淆 PowerShell 脚本”;

捕获 PowerShell 进程中可疑.NET 方法调用行为,识别载荷解码、网络下载类恶意指令。

两条规则联动可实现对该阶段攻击行为的全覆盖检测,单一规则仅能捕获局部特征,无法完整识别攻击链路。

3.5 第五层:隐写技术提取 Remcos RAT,建立远程控制通道

混淆 PowerShell 执行后,进入攻击最终落地阶段,攻击者未直接通过网络下载 Remcos 木马二进制文件,而是采用图像隐写技术规避网络流量检测:将完整 Remcos RAT 程序二进制数据嵌入普通 JPG、PNG 图片文件,通过代理服务直连境外 IP 下载图片文件,PowerShell 内置解码函数提取图片中隐藏的木马载荷,在内存中直接运行,全程不向本地磁盘写入 exe 可执行文件,规避基于本地文件查杀的终端杀毒软件。

3.5.1 隐写载荷规避优势

网络流量层面,传输载体为标准图片文件,流量特征与正常业务图片下载无差异,网络防火墙、流量审计设备无法识别图片内隐藏恶意代码;

本地存储层面,恶意木马仅驻留内存,无落地文件,传统全盘病毒扫描无法检出恶意样本;

外联通道层面,Remcos RAT 可复用常规 443 加密端口建立 C2 通信,加密流量无法通过明文特征匹配拦截。

3.5.2 Remcos RAT 核心危害

Remcos 作为商用远控木马,攻击者可获取终端完整控制权限,核心恶意功能包含:实时键盘记录、屏幕实时录制、本地磁盘文件遍历与上传、企业财务表格、账号文档窃取、远程命令执行、持久化驻留(注册表、计划任务),攻击者可长期潜伏企业内网,横向移动渗透服务器,批量窃取全公司业务数据。

4 攻击活动配套检测规则体系与部署逻辑

SOC Prime 基于本次攻击全链路行为,发布 7 条标准化检测规则,覆盖 DNS 解析、网络代理外联、进程创建、PowerShell 脚本、LOLBAS 工具五大日志数据源,企业可直接导入 SIEM、EDR 平台落地使用,本节逐条拆解规则检测对象、触发场景、部署价值。

4.1 基于进程创建日志的 LOLBAS MSHTA 规避行为检测规则

检测数据源:process_creation 进程创建日志

识别特征:MSHTA.exe 进程调用非常规外部网络地址、携带拼接式脚本参数

适用场景:拦截第三阶段 HTA 恶意脚本执行行为,提前阻断 WMI、PowerShell 后续恶意操作,属于前置拦截类规则,可在攻击链路早期阻断威胁。

4.2 可疑 PowerShell 字符串静态特征检测规则

检测数据源:powershell 进程命令行日志

识别特征:命令行包含隐藏窗口、绕过执行策略、分段混淆编码等关键词

适用场景:识别普通直接启动的恶意 PowerShell 进程,作为 WMI 混淆执行规则的补充检测手段。

4.3 PowerShell 调用可疑.NET 方法检测规则

检测数据源:powershell 运行时日志

识别特征:PowerShell 调用网络下载、二进制解码、内存文件操作类.NET 接口

适用场景:捕获隐写图片解码、远程载荷下载行为,覆盖攻击第五层载荷提取阶段。

4.4 代理直连陌生公网 IP 文件下载检测规则

检测数据源:proxy 代理流量日志

识别特征:终端通过代理直接访问境外独立 IP 下载图片、脚本文件,无标准域名解析过程

适用场景:拦截 HTA 脚本、隐写图片的远程下载行为,切断攻击者载荷分发通道。

4.5 Cloudflare 开发域名滥用 DNS 检测规则

检测数据源:dns 域名解析日志

识别特征:企业终端频繁解析 Cloudflare 旗下非常规二级开发域名

适用场景:识别钓鱼邮件配套的恶意载荷分发域名,提前拦截域名解析请求。

4.6 动态 DNS 服务异常访问 DNS 检测规则

检测数据源:dns 域名解析日志

识别特征:办公终端批量解析动态 DNS 服务商域名,且无正常业务访问需求

适用场景:识别 Remcos RAT 外联 C2 服务器的动态域名,阻断远控通信通道。

4.7 WMI 调用 Win32_Process.Create () 执行混淆 PowerShell 专项 AI 规则

检测数据源:Windows 进程创建事件 ID10 日志

识别特征:WmiPrvSE.exe 作为父进程创建 powershell.exe,且命令行携带隐藏、绕过执行策略参数

适用场景:本次攻击核心检测规则,精准识别攻击者依托 WMI 篡改进程父链的规避手段,是区别于普通钓鱼攻击的关键检测能力。

反网络钓鱼技术专家芦笛强调,企业安全运营团队部署检测规则时不可单一启用某一条规则,必须实现多数据源规则联动告警。单一规则仅能捕获攻击单一阶段行为,易产生漏报;多规则同时触发、形成告警关联事件,才能判定为完整定向钓鱼攻击,避免单条规则误报干扰运维效率。

5 分层 mitigation 防护体系建设方案

结合攻击全链路暴露的安全短板,本节从邮件入口防护、终端漏洞闭环、进程行为管控、网络外联审计、应急响应处置五个层级构建完整防御体系,所有方案均针对本次转账伪装钓鱼攻击的技术特征设计,无泛化通用安全建议,具备场景针对性。

5.1 第一层:邮件网关入口防护,阻断钓鱼邮件投递

域名仿冒自动校验机制:配置邮件网关域名相似度检测规则,针对财务、转账类业务邮件强制校验发件人完整域名,对与企业合作方、银行域名字符高度相似的仿冒域名直接拦截;

附件深度沙箱解析:所有 XLS、XLSX、DOC、DOCX 办公附件自动投递云端沙箱解析,沙箱监控文档是否触发外部 HTA、远程 IP 请求,存在漏洞外联行为直接隔离附件并告警;

业务邮件人工复核通道:对公转账、资金结算类邮件单独建立复核流程,系统识别邮件标题含 “转账回执、付款确认、结算凭证” 关键词时,推送至财务管理员二次核验后再下发员工终端;

员工钓鱼识别常态化培训:重点培训财务岗位人员区分仿冒域名、陌生附件风险,针对金融场景伪装钓鱼案例开展专项演练。

5.2 第二层:终端漏洞闭环管理,消除 CVE-2017-0199 突破入口

Office 补丁统一管控:通过终端管理平台(EDR / 域控)批量检测全网 Office 版本,强制推送 2017 年 4 月后月度安全更新补丁,对长期离线终端建立补丁补录台账,杜绝漏洞暴露面;

老旧 Office 版本淘汰机制:停止企业内部 Office2013、2016 无补丁版本授权使用,统一升级至 Office 2019/365 持续更新版本;

漏洞终端隔离策略:EDR 自动扫描识别存在 CVE-2017-0199 漏洞的终端,自动限制终端访问财务服务器、内网共享盘,直至补丁安装完成。

5.3 第三层:终端进程行为基线管控,拦截 LOLBAS 恶意滥用

WMI 进程行为基线:建立正常业务 WMI 调用白名单,监控 WmiPrvSE.exe 衍生 PowerShell、MSHTA 子进程行为,非运维操作产生的 WMI 创建进程行为直接告警阻断;

MSHTA、PowerShell 执行权限限制:普通员工终端限制 MSHTA.exe 独立执行,PowerShell 默认启用严格执行策略,仅运维终端开放脚本执行权限并全程记录命令行日志;

隐藏窗口进程拦截:EDR 配置规则拦截带 - WindowStyle Hidden 参数的 PowerShell 进程创建,阻断攻击者无窗口隐蔽执行手段。

5.4 第四层:网络流量与 DNS 审计,切断载荷下载与 C2 通道

DNS 恶意域名拦截:在企业 DNS 服务器配置黑名单,拦截动态 DNS 服务商、Cloudflare 恶意开发域名解析请求;

代理外联管控:禁止办公终端绕过域名直连境外独立 IP 下载文件,监控图片文件批量境外下载流量;

加密流量审计:针对 443 端口加密外联流量建立异常基线,识别长期驻留的 Remcos 远控加密通信会话。

5.5 第五层:攻击事件标准化应急响应处置流程

若 SIEM/EDR 触发本次攻击关联告警,运维人员需按照标准化流程处置,避免威胁横向扩散、数据持续泄露,处置步骤客观、可落地:

终端隔离:第一时间断开受感染终端内网、外网网络,阻断 Remcos RAT 与 C2 服务器通信,停止攻击者远程操作;

全链路日志溯源:调取邮件日志定位原始钓鱼邮件,统计同批次收件人名单,批量告知潜在受害用户;调取进程日志、DNS 日志完整还原攻击感染时间线;

终端取证与恶意样本提取:对隔离终端开展磁盘、内存取证,提取隐写图片、PowerShell 脚本等恶意样本,提交安全厂商深度分析;

账号凭证重置:所有打开钓鱼邮件、操作恶意附件的员工,统一重置 Windows 域账号、财务系统、邮箱登录密码,防止窃取凭证二次渗透;

全网基线排查:基于本次攻击特征,全网 EDR 批量扫描是否存在同类 WMI 恶意进程、隐写图片载荷,清除潜伏恶意程序;

防护策略迭代:根据本次攻击告警情况,优化邮件沙箱、EDR 进程规则、DNS 黑名单,补充同类伪装钓鱼攻击防护策略。

反网络钓鱼技术专家芦笛指出,多数企业应急处置存在滞后性,仅在终端出现明显卡顿、文件丢失后才开展排查,此时攻击者已完成数据窃取。完善的行为检测规则可在攻击初始阶段(打开恶意 XLS 文档时)触发告警,实现威胁前置处置,大幅降低数据泄露损失。

6 攻击防御现存短板与优化方向

结合本次攻击活动暴露的政企防护体系普遍缺陷,本节客观分析现有防护手段短板,并提出针对性长期优化思路,不做绝对化、夸大化风险描述,基于实际攻击场景给出改良路径。

6.1 当前主流防护体系核心短板

第一,分层防御割裂,各安全设备数据不互通。邮件网关、EDR、防火墙、DNS 服务器独立运行,无统一 SIEM 关联分析能力,邮件网关拦截钓鱼附件、EDR 捕获 WMI 恶意进程两类告警无法联动,运维人员难以识别完整攻击链路;

第二,漏洞管理存在盲区,补丁更新缺乏强制管控。大量中小企业无统一终端管理平台,员工本地 Office 长期不更新补丁,CVE-2017-0199 等老旧漏洞长期暴露,成为攻击者低成本突破入口;

第三,LOLBAS 工具管控缺失,仅关注第三方恶意程序。现有杀毒软件重点拦截 exe、病毒样本,对 MSHTA、WMI、PowerShell 等系统原生工具的异常调用行为无监控基线,攻击者依托合法系统工具可长期规避检测;

第四,隐写类内存载荷检测能力不足。传统终端安全产品侧重磁盘文件查杀,针对内存中提取、运行的隐写远控木马无有效识别手段,恶意程序落地痕迹极少,延长威胁潜伏周期;

第五,财务岗位专项防护缺失。企业安全策略统一标准化,未针对财务人员高频接收转账、结算类业务邮件做差异化防护,财务终端漏洞、进程管控权限与普通办公终端一致,防护强度不足。

6.2 长期防御体系优化方向

搭建统一安全运营平台,实现多设备日志关联分析。打通邮件、EDR、DNS、防火墙全量日志,配置攻击链关联告警模型,当 “恶意 XLS 附件 + WMI 创建 PowerShell + 境外图片下载” 三类行为同时触发时,生成高优先级关联告警,区分单条规则误报;

建立终端漏洞自动化闭环流程。域控 / EDR 自动扫描终端高危 Office 漏洞,未修复终端自动限制内网关键资源访问,补丁安装完成后自动解除限制,实现漏洞从发现到修复全自动化管控;

构建系统原生工具动态行为基线。基于企业正常运维行为采集 WMI、PowerShell、MSHTA 调用基线,偏离基线的异常调用行为实时告警,而非单纯禁用系统工具影响正常业务;

引入内存动态检测技术,补充磁盘查杀短板。升级 EDR 内存扫描能力,实时监控 PowerShell 内存中解码、二进制加载行为,识别无落地文件的隐写远控载荷;

岗位差异化安全防护策略落地。针对财务、人事等高敏感岗位终端提升防护等级:强化邮件附件沙箱校验、收紧 PowerShell 执行权限、限制终端外联境外 IP、增加内存扫描频率,实现分级防护。

7 结论

本文以 2026 年 7 月针对韩国企业投放的伪装转账确认邮件钓鱼攻击为完整研究样本,逐层拆解攻击者依托 CVE-2017-0199、HTA 脚本、WMI 进程混淆、图像隐写分发 Remcos RAT 的全链路攻击技术,复现攻击者规避终端检测、篡改进程溯源链的核心技术手段,配套提供可直接部署的检测规则、攻击模拟代码、环境清理脚本,完整形成攻击技术、检测手段、防御方案的闭环论据。

研究证实,金融转账回执类伪装钓鱼攻击依托业务信任度大幅降低人员防范意识,叠加老旧 Office 漏洞、系统原生合法工具滥用、内存隐写载荷多重规避手段,传统单一维度防护机制存在大量检测盲区。反网络钓鱼技术专家芦笛提出的分层联动防御模型,从邮件入口、终端漏洞、进程行为、网络审计、应急处置五个层级实现全链路阻断,能够有效覆盖本次攻击所有技术节点,为政企单位防范同类定向商业钓鱼攻击提供标准化落地框架。

企业安全建设不能仅依靠单点安全设备或员工安全培训,必须打通邮件、终端、网络安全数据,建立行为基线化、关联告警化、漏洞自动化的综合防护体系,针对财务等高敏感业务场景配置差异化防护策略,才能持续抵御不断迭代的复合型钓鱼攻击。本次攻击活动暴露的 LOLBAS 滥用、隐写载荷规避手段,也是未来商业钓鱼攻击的主流发展方向,安全运营团队需持续跟进同类威胁情报,迭代检测规则与防护策略,缩小安全暴露面。

本次研究仅基于单批次定向钓鱼攻击情报开展技术分析,未覆盖全球范围内同类不同组织发起的转账伪装钓鱼活动,后续可基于多厂商威胁情报开展横向对比研究,总结不同攻击团伙的 TTP 差异化特征,进一步完善金融场景钓鱼攻击防护体系。

编辑:芦笛(公共互联网反网络钓鱼工作组)

目录
相关文章
|
6天前
|
缓存 人工智能 安全
GPT-5.6 Terra与GPT-5.5性能实测:成本减半后的跑分对比与快速迁移指南
GPT-5.6 Terra 的定价为每百万 token 输入 2.50/输出 15。GPT-5.5 则是 5/ 30。Terra 的每一项费率,包括 $0.25/M 的缓存读取,都恰好是 GPT-5.5 的一半,因此在任何工作负载组合下,Terra 都固定 便宜 2.0x。以每天 10 万次请求、3K token 提示词计算,大约是 Terra 每天 2,000,GPT−5.5每天 4,000,即每月约 60,000对 120,000。问题在于:OpenAI 没有发布任何针对 Terra 的编码基准。那个著名的 91.9% Terminal-Bench 数字是 Sol 在 Ul
|
1天前
|
数据采集 机器学习/深度学习 人工智能
田间杂草定位与检测4200张YOLO智慧农业数据集分享
本数据集含4200张真实农田图像,YOLO格式,单类别(杂草)高质量标注,覆盖多作物、多光照、多生长阶段等复杂场景,专为智慧农业杂草检测与智能除草设备研发设计,支持YOLOv5/v8/v10等主流模型训练。
326 93
|
2天前
|
缓存 UED 开发者
Codex109天重置23次,明天还要再送一次
Codex近109天完成23次额度重置,7月14日将迎来第24次。Tibo高频响应用户反馈:优化GPT-5.6高消耗问题、补发失效福利、调整重置时间——形成“反馈→回应→修复→补偿”正向闭环,彰显以用户为中心的产品哲学。(239字)
487 11
|
6天前
|
人工智能 缓存 JSON
刚刚 GPT-5.6 发布,吊打 Claude 5 和 Grok 4.5?一手实测来啦!
GPT-5.6 刚发布,跑分号称超越 Fable 5,真的假的?附一手实测,让 3 个最强 AI 编程模型 GPT-5.6 Sol、Claude Fable 5、Grok 4.5 在 Cursor 里同时一把梭开发网页游戏,看看最新模型到底谁更能打。
331 0
|
6天前
|
存储 人工智能 JSON
Qwen 本地部署搭配 ComfyUI 生成 AI 漫剧完整实操指南(小白零基础可落地,零成本无限生成+角色一致性天花板)
2026全网最优本地漫剧流水线:零成本、离线运行、角色统一、低配(8G显卡)可跑。融合Qwen本地大模型+ComfyUI双引擎,实现剧本生成→分镜绘图→动态成片全自动,隐私安全、无审核限流,新手30分钟上手,日更无忧。(239字)