邮件攻击案例系列六：攻击队冒充 HR 给发送的加密带毒邮件

原创

已于 2025-10-16 10:23:52 修改 · 2.4k 阅读

8 ·

CC 4.0 BY-SA版权

文章标签：

#邮件安全

于 2024-07-30 08:46:58 首次发布

案例来源：邮件攻击案例系列六：攻击队冒充 HR 给发送的加密带毒邮件 | MailABC邮件知识百科

1. 案例描述

2023 年 7 月，在一次大规模网络安全实战攻防演习活动中，某大型企业在邮件服务商和网络安全团队的合作下，截获了一封来自攻击队的、主题为“部分技术人员涨薪通知”的带毒邮件。邮件以员工最关心的薪酬通知为话题，引诱用户打开带毒附件。该企业随即启动了内部安全审计，发现已有部分员工下载并打开了该邮件的附件。网络安全部门随即将已经中招的设备做了封禁处理。下图为邮件正文内容截图。

邮件的附件为一个加密压缩包。表面上看，将压缩包加密的目的似乎是所谓的“保密”，但实际上，攻击者这样做的目的，是为了为防止邮件安全网关对邮件附件进行反病毒查杀。尽管目前世面上的绝大多数邮件安全网关都已经具备对常用文档、常见压缩格式文件的病毒查杀能力。但攻击者将压缩包加密，就大大增加了反病毒引擎的识别难度。

安全技术人员在隔离环境下将加密压缩包进行解压测试，得到一个名为“员工工资变动申请表.doc”的快捷方式文件和一个隐藏文件夹，快捷方式的图标为 Word。由于 Windows 系统默认不显示快捷方式文件（lnk 文件）的后缀,所以从普通用户

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

小胡子大魔王

关注关注

27
点赞
踩
8

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结

杨秀璋的专栏

06-09

1万+

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了WHUCTF隐写和逆向题目，包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目，包括CSS注入、越权、csrf-token窃取及CSP绕过，同时总结XSS绕过知识，希望对您有所帮助。第一次参加CTF，还是学到了很多东西。人生路上，要珍惜好每一天与家人陪伴的日子。感谢武汉大学，感谢这些大佬和师傅们（尤其出题和解题的老师们）~

业务安全漏洞挖掘归纳总结

swordheart的博客

04-24

1096

0x00 索引说明 6.30在OWASP的分享，关于业务安全的漏洞检测模型。进一步的延伸科普。 0x01 身份认证安全 1 暴力破解在没有验证码限制或者一次验证码可以多次使用的地方，使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。简单的验证码爆破。URL: http://zone.wooyun.org/content/20839 一些工具及脚本 Burpsuite htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie

参与评论您还未登录，请先登录后发表或查看评论

员工点开一封邮件，公司赔了500万！钓鱼攻击防骗指南

最新发布

m0_71322636的博客

09-01

432

钓鱼攻击是一种社会工程学攻击，攻击者通过伪造的电子邮件、网站、短信（钓鲸鱼、短信钓鱼Smishing）等，伪装成可信的来源，诱骗受害者泄露敏感信息（如用户名、密码、银行信息）或在其设备上安装恶意软件。：黑客发送一封精准伪造的邮件，如“财务部：关于2023年度奖金发放的通知”、“IT部门：您的邮箱即将停用，请立即验证”、“CEO：紧急，速向XX账户转账”。如果邮件开头是模糊的“亲爱的用户”、“尊敬的同事”或直接没有称呼，需高度警惕。时刻保持警惕，熟练掌握这份防骗指南，别再让钓鱼邮件成为公司的“破产通知书”。

1.5电子邮件攻击

qq_55202378的博客

07-12

4011

社会工程学

【信息安全】深度分析邮件安全及钓鱼攻击防范

全网唯一认证 | 信息安全圈 | 知识星球 | 网安社区 | 共筑网安长城

01-09

3701

邮件系统作为企业办公网络架构中重要的组成部分，同时也是业务高频使用的办公应用，一旦出现安全问题，业务将会被严重干扰甚至中断，本篇博客通过攻守两个方面，深度介绍邮件系统安全防御的内容。垃圾广告邮件诈骗类钓鱼邮件攻击携带勒索病毒附件邮件攻击邮件发件人伪造邮件服务器本身的安全漏洞。

样本投递技术

weixin_45880501的博客

03-25

1128

APT 组织主要以邮件作为投递载体，邮件的标题、正文和附件都可能携带恶意代码。主要的方式是附件是漏洞文档、附件是二进制可执行程序和正文中包含指向恶意网站的超链接这三种。APT攻击的载荷类型：文档类：主要是office文档、pdf文档脚本类：js脚本、vbs脚本、powershell脚本等可执行文件：一般为经过RLO处理过的可执行文件、自解压包lnk：带漏洞的（如震网漏洞）和执行powershell、cmd等命令的快捷方式网页类：html、hta等。

专家详解伪造邮件攻击方法和防范措施

gscaiyucheng的专栏

03-25

1万+

据瑞星"云安全"监测系统统计显示，从2011年起，钓鱼攻击就已经成为网络环境中最主要的恶意攻击方式，其攻击数量是恶意挂马攻击数量的数十倍。网民经常收到黑客伪造官网发来的各种钓鱼邮件，要甄别这些钓鱼邮件并不容易，很多人经常采用的方法是查验发件人地址信息是否为官网邮件地址。但是，是否显示为官方地址发送的邮件就是安全可信的呢？答案是否定的。据瑞星安全专家介绍，在现有的技术下，黑客可以把钓鱼邮件伪装成任何

APT 组织也在利用云存储进行攻击

FreeBuf_的博客

06-26

1323

攻击者在云端存储各种诱饵文件与泄露数据，并且攻击者往往是针对特定目标进行定向攻击，窃取信息后部署远控木马。建议用户提高警惕，在运行文件之前务必检查文件的扩展名和文件格式是否匹配。

HW行动在即，邮件系统该怎么防守？

MailABC致力于科普电子邮件知识。如需交流，可以关注mailabc微信公众号或邮件feedback@mailabc.cn

07-21

1886

本文主要介绍HW行动中邮件系统防守策略。

Metasploit渗透测试之制作隐藏后门：社交媒体渗透攻击技巧

# 1. Metasploit渗透测试概述 ## 1.1 Metasploit渗透测试简介 Metasploit是一款开源的渗透测试工具，旨在帮助安全专家识别和利用系统中的安全漏洞。它具有强大的渗透功能和丰富的渗透模块，可用于测试网络安全、...

伪装lnk快捷方式实现下载执行

要把所有那些负面的信息当做对自身行为的评价，而不是对自身价值的评判。

06-28

479

开启apache，将下载执行的exe和main.ps1放到www目录下。此时，双击后lnk执行后，exe已经被下载到本地并执行。当然也可以将exe和dll打包到一个exe中。然后，设置快捷方式的图标和名称。

一次持续的邮件钓鱼攻击的简单溯源分析，看看是谁在钓鱼？

Innocence_0的博客

09-07

314

昨天连续收到两封欺骗邮件，分别是凌晨和下午，邮件的主题、内容都是一样的，主要是发送人的信息不同，两份邮件截图如下所示：第一封：第二封：。因此，可认定为同一个组织/个人实施的邮件欺骗攻击。唉，怎么一不小心就成为攻击目标了，还一天两封，晕。今天在outlook直接点击访问，发现360已经会进行拦阻，显示如下：进行浏览器访问，登陆界面如下：欺骗用户填写邮箱的账户和密码。如果直接访问主页，发现显示的也是邮件登陆系统，界面如下：随便输入虚拟的邮箱账户和密码，显示“密码错误”，如下。

钓鱼邮件攻击(入门)

chlet的博客

07-18

6698

作为社会工程学的一种攻击方式,当红队正面面临框架新,逻辑漏洞少,信息泄露少等情况打不开局面时,钓鱼邮件攻击不失为一种“有趣”又有效的渗透方式.

实验整理（一）——钓鱼邮件攻击实验

热门推荐

weixin_57882885的博客

06-23

1万+

一.实验介绍简介本次课程实验中主要是通过发送qq邮件来进行的一个钓鱼邮件实验。我是通过在kali上部署好的gophish工具向自己的一个QQ邮箱发送一个简单的电子邮件来模拟操作这次实验，并且还可以通过gophish来监测收到钓鱼邮件的收件人的状态。本次实验中使用的时kali-Linux-2021.2 -vnware-amd64，以及Windows 10 还有用到了QQ邮箱。还有部署在kali下的gophish钓鱼工具。二.gophish的安装1.下载地址：https://gi

LNK 类恶意软件兴起

Innocence_0的博客

08-13

619

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。干货主要有：①1000+CTF历届题库（主流和经典的应该都有了）②CTF技术文档（最全中文版）③项目源码（四五十个有趣且经典的练手项目及源码）

程序员伪造邮件钓鱼，从入门到入土！

程序IT圈

03-09

9326

邮件钓鱼入门到入土在大型企业边界安全做的越来越好的情况下，不管是 APT 攻击还是红蓝对抗演练，钓鱼和水坑攻击被越来越多的应用。一、邮件安全的三大协议1.1 SPFSPF 是 Sender...

邮件攻击案例系列四：某金融企业遭遇撒网式钓鱼邮件攻击

MailABC致力于科普电子邮件知识。如需交流，可以关注mailabc微信公众号或邮件feedback@mailabc.cn

07-29

6672

本系列主要介绍邮件攻击案例

邮件伪造之SPF绕过的5种思路

技术超强的网络安全平台

03-21

1500

https://www.cnblogs.com/chen110xi/p/4651482.html 邮件伪造之SPF绕过的5种思路 SMTP(SimpleMail Transfer Protocol)即简单邮件传输协议，正如名字所暗示的那样，它其实是一个非常简单的传输协议，无需身份认证，而且发件人的邮箱地址是可以由发信方任意声明的，利用这个特性可以伪造任意发件人。SPF 出现的目的，就是为了防止随意伪造发件人。SPF，全称为 Sender Policy Framework，是一种以IP地址认证电子邮件发件人

含攻击功能的邮件发送客户端C++源码

邮件发送客户端源代码含有攻击功能，这一标题揭示了一个极具技术深度和安全风险的软件项目。该项目是一个基于C++语言开发的桌面级邮件客户端程序，能够在Visual C++ 6.0（VC6.0）环境下成功编译并运行。从其描述与...