使用PDF扩展名发送附件，但无法正常工作 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于双重扩展名伪装与即时通讯C2的钓鱼攻击机理研究

2026年3月，Malwarebytes威胁情报团队披露了一起典型的案例：攻击者发送主题为“新采购订单”（New PO）的电子邮件，附件名为New PO 500PCS.pdf.hTM。...该附件表面看似普通的PDF文档，实则为精心构造的HTML phishing页面。一旦用户点击，浏览器将渲染出一个逼真的密码输入界面，诱导用户输入凭据。...这种话术利用了接收者的职业本能：处理询价是采购与销售人员的日常工作。当邮件内容与附件名称（New PO）高度一致时，用户进行深度验证的可能性大幅降低。...许多企业并未将Telegram的域名（如api.telegram.org）列入黑名单，因为其可能被用于正常的业务沟通或员工个人使用。...正常的IM流量通常具有特定的心跳包特征与数据包大小分布，而数据窃取流量往往表现为突发的大包发送或包含Base64编码的敏感数据字段。

2961 0

如何远离勒索病毒避免成为黑客“挖矿机”

23日，湖北襄阳南漳县人民医院系统23号上午上班时，住院部医生发现，原来只能联内网的电脑可以上外网了；药剂师发现，因系统瘫痪录入在电脑中的药价等数据不见了；还有医生发现，存储在电脑中的病例也消失了，导致无法正常就诊...直到24日11:00医院才恢复正常就诊。目前医院虽然已经建立一个新系统，但之前的数据尚未恢复。襄阳市和南漳县警方也正全力侦破该案。...2、对重要的数据文件定期进行非本地备份，也就是云备份可以安全恢复文件，如果不想使用云备份，而希望本地存储备份，请确保在备份之后断开存储设备连接，或将备份计算机隔离，使其无法进行网络共享。...当勒索软件通过垃圾邮件发送时会把感染程序作为附件。因此，不要打开未知的邮件附件。） 4、尽量关闭不必要的文件共享权限。...8、启用查看扩展不显示文件的扩展名会诱使用户认为可执行病毒文件实际上是正常的Word，Excel或PDF。打开文件则是运行了恶意软件的安装程序。

1.1K5 0

您找到你想要的搜索结果了吗？

是的

没有找到

警惕“发票陷阱”：揭秘境外间谍的网络钓鱼攻击与防御

（二）木马植入的技术路径真正的杀招隐藏在附件或链接之中。表面上，附件显示为“.zip”“.pdf”或“.xlsx”等常见文档格式，实则内部捆绑了特种木马程序。...执行触发：一旦用户点击下载并打开，木马程序便会利用系统漏洞或伪装成正常文档加载项自动执行。权限窃取：木马运行后，会立即在后台建立与境外控制服务器（C2 Server）的连接。...协议检查：虽然HTTPS加密链接已普及，但攻击者同样可申请免费SSL证书。因此，不能仅凭链接前的“小锁”图标判断安全性，仍需结合发件人身份综合研判。...（二）辨“细节”：识别恶意载荷文件后缀陷阱：警惕双重后缀文件（如“invoice.pdf.exe”），系统默认隐藏已知扩展名时，用户可能只看到“.pdf”。务必在文件夹选项中开启“显示文件扩展名”。...案例来源：国家安全部公众号作者：芦笛、张鑫中国互联网络信息中心编辑：芦笛（公共互联网反网络钓鱼工作组）

1341 0

文件安全面临哪些威胁？如何保证文件安全？这5个习惯很重要！

这类软件包括病毒、木马、勒索软件等，它们可能通过电子邮件附件、下载文件或USB设备传播。一旦感染，轻则文件被破坏无法打开，重则所有数据被加密勒索，甚至个人隐私信息被窃取。...网络钓鱼诈骗网络钓鱼者常伪装成银行、社交平台或同事发送虚假信息，诱导您点击恶意链接或下载带毒附件。这些文件看似无害，实则是窃取您账号密码或植入后门的陷阱。...更隐蔽的是，黑客可能篡改正常文件的内容，在其中植入恶意代码。4....禁止程序发送文件：软件可禁止指定程序发送文件，比如邮件客户端、浏览器等常用通讯与云盘工具的文件发送行为，从源头掐断非授权数据外流路径。...习惯2：谨慎处理可疑文件扩展名检查：显示完整文件名，警惕.exe伪装成.pdf或.jpg的可执行文件宏安全设置：在Office中禁用来自互联网文档的宏执行沙箱验证：使用Sandboxie等工具在隔离环境中测试可疑文件杀毒扫描

6021 0

伪装成监管文件的“狼爪”：Arcane Werewolf组织如何用钓鱼邮件撕开俄罗斯制造企业的数字防线？

“这里的关键在于混淆与信任滥用，”芦笛强调，“攻击者故意使用.pdf扩展名，诱使用户认为它是无害文档。而现代浏览器和邮件客户端默认会隐藏已知文件扩展名，进一步强化了这种错觉。”...PLC通信；跳板攻击：以被控的HMI（人机界面）或工程站为跳板，向底层控制器发送恶意指令。...芦笛建议制造企业构建“三层防御”体系：第一层：入口过滤——让恶意邮件“进不来”部署高级邮件安全网关：支持URL信誉检查、附件沙箱动态分析、发件人SPF/DKIM/DMARC验证；启用附件类型白名单：禁止接收...LNK、SCR、JS、VBS等高风险文件类型；强制显示完整文件扩展名：通过组策略（GPO）关闭Windows的“隐藏已知扩展名”功能。...）- 进程: chrome_proxy.pdf (伪装)行为: 调用 VirtualAlloc + VirtualProtect (RWX内存)网络: 连接非常规域名，使用GET携带长Base64字符串第三层

1501 0

基于多阶段注入的VIP键盘记录器鱼叉钓鱼攻击分析与防御

本文基于Seqrite安全团队公开的技术细节，系统还原了该攻击的完整感染链：从伪装为付款凭证的双重扩展名ZIP附件，到利用AutoIt脚本解密并注入RegSvcs.exe的内存加载过程。...该附件实为ZIP压缩包，内含一个名为“payment receipt_USD 86,780.00 pdf.exe”的可执行文件，利用Windows默认隐藏已知文件扩展名的特性，诱使用户误认为是PDF文档...在鱼叉钓鱼检测方面，Zhou et al.（2023）提出基于邮件元数据与NLP的上下文异常检测模型，可识别伪造发件人与异常附件命名模式。然而，该方法无法应对已成功绕过邮件网关的本地执行阶段。...用户解压后看到“payment receipt_USD 86,780.00 pdf.exe”，因Windows默认隐藏“.exe”扩展名，误判为PDF文件。...6 讨论本文方案存在以下挑战：误报风险：RegSvcs在合法场景中极少使用，但某些企业内部工具可能调用，需白名单管理；对抗演化：攻击者可更换注入目标进程（如dllhost.exe）或使用Direct Syscall

3381 0

企业邮件安全架构演进：从边界防御到智能动态感知

攻击者利用域名生成算法（DGA）频繁更换发送源，利用合法云服务基础设施作为跳板，甚至通过入侵合法账户发送看似正常的业务邮件，使得基于信誉库和特征匹配的防御机制失效。...该引擎通过机器学习算法，对海量邮件数据进行训练，建立正常邮件行为的基线模型。当新邮件进入系统时，引擎会将其特征（如发送频率、收件人分布、内容语义、附件类型等）与基线模型进行比对，计算异常得分。...3.2 动态信誉评估与实时决策静态的IP或域名黑名单已无法应对快速变化的攻击源。动态信誉评估机制通过实时收集全球范围内的威胁情报，结合邮件发送行为的历史记录，对每个发送源进行动态打分。...例如，允许向特定的合作伙伴发送包含敏感信息的邮件，但禁止向个人邮箱发送同类内容。通过与身份管理系统（IAM）的集成，DLP策略可以基于用户角色、部门及地理位置进行动态调整，实现细粒度的访问控制。...time.time() }# 模拟测试场景if __name__ == "__main__": analyzer = EmailSecurityAnalyzer() # 场景：正常工作时间外的异常大量外发带可疑附件

1501 0

多国行业遭“发票钓鱼”围猎，专家：小心那个“双后缀”附件

“发票”背后藏着木马：RR压缩包+伪PDF组合拳据网络安全公司 F6 发布的报告，一个代号为 “ComicForm” 的攻击团伙近期频繁向俄语区企业发送钓鱼邮件。...附件通常命名为类似 invoice_2025.rr 或 document_final.rr.pdf 的形式。...用户若用解压软件打开该文件，会看到一个看似正常的 PDF 图标。...但仔细查看属性就会发现：这其实是一个 Windows 可执行文件（.exe），只是被重命名为 .pdf.exe，利用 Windows 默认隐藏已知扩展名的设置进行伪装。...在这个背景下，技术防御固然重要，但人的意识才是最关键的防火墙。下次当你收到一封“紧急付款通知”或“设备检修单”时，请记住：真正的合作伙伴，绝不会只靠一个附件解决问题。

2831 0

Efimer木马的攻击机制分析与企业防御体系构建

攻击者冒充律师事务所，以“域名专利侵权诉讼”为由发送恐吓性邮件，诱使收件人打开伪装成PDF或DOCX的可执行文件。一旦运行，木马即建立持久化机制并连接C2服务器下载后续模块。...邮件正文包含正式信头、案件编号及虚假法院链接，附件则命名为“Case_Document_2025.exe”或“Notice_of_Infringement.scr”，利用Windows默认隐藏扩展名特性迷惑用户...3.2 C2通信与命令控制Efimer的C2通信具有以下特征：协议伪装：使用HTTPS协议，证书为自签名但域名模仿合法服务（如“update.microsoft-cloud[.]net”）；心跳机制：每...4.1 邮件网关强化策略1：部署基于内容与行为的邮件过滤除传统SPF/DKIM/DMARC验证外，应启用以下规则：阻断含.exe/.scr/.js/.lnk等高风险扩展名的附件；对伪装PDF/DOC的可执行文件进行深度解析...后续工作将聚焦于内存行为分析与跨终端关联检测算法的优化。编辑：芦笛（公共互联网反网络钓鱼工作组）

3441 0

python 使用stmp发送邮件

我们知道邮件一般由标题，发信人，收件人，邮件内容，附件等构成，发送邮件的时候，要注意 msg 的格式。这个格式就是 smtp 协议中定义的格式。使用系统自带的mail发送,只为测试 #!..." except smtplib.SMTPException: print "Error: 无法发送邮件" 我们使用三个引号来设置邮件信息，标准邮件需要三个头部信息： From, To, 和 Subject..." except smtplib.SMTPException: print "Error: 无法发送邮件" 发送html邮件 Python发送HTML格式的邮件与发送纯文本消息的邮件不同之处就是将..." except smtplib.SMTPException: print "Error: 无法发送邮件" 发送带附件的邮件基本思路就是，使用MIMEMultipart来标示这个邮件是多个部分组成的...', filename="derek.pdf") msg.attach(part) #mp3类型附件 part = MIMEApplication(open('derek.mp3','rb').read

1.4K1 0

冒充警察发“传唤令”？以色列钓鱼新骗局敲响全球警钟

部分变种还会诱导用户下载名为“Summons_Form.pdf.exe”或“Police_Notice.zip”的附件——表面是PDF文档，实则为打包的恶意可执行程序。...尽管以色列警方强调“正式传唤不会通过普通电子邮件发送”，但现实中，许多受害者仍难辨真伪。原因在于，攻击者在技术细节上做了大量“拟真”工作。1....恶意附件的双重伪装附件命名常采用“PDF.exe”或“ZIP内嵌EXE”策略。由于Windows默认隐藏已知文件扩展名，用户看到的只是“Summons_Form.pdf”，实则为可执行文件。...部分样本还使用LNK快捷方式或ISO镜像绕过邮件网关检测：LNK文件指向远程SMB共享，触发NTLM哈希泄露；ISO文件内含伪装PDF，实为AutoIt或PowerShell脚本，执行后下载第二阶段载荷...编辑：芦笛（公共互联网反网络钓鱼工作组）

1841 0

利用WinRAR零日漏洞，俄黑客大肆攻击乌克兰

LONEPAGE恶意软件投放流程 8月初，UAC-0099组织冒充利沃夫市法院使用ukr.net电子邮件服务向乌克兰用户发送了网络钓鱼邮件。...该组织使用了不同的感染途径，将HTA、RAR和LNK文件作为附件进行网络钓鱼攻击，最终目的是完成Visual Basic 脚本（VBS）恶意软件LONEPAGE的部署。...Deep Instinct在发布的报告中写道，攻击者创建了一个带有良性文件名的压缩文件，并在文件扩展名后面加了一个空格——例如，“poc.pdf ”。...该压缩文件中包含一个同名的文件夹，也包括了那个空格（在正常情况下这是不可能的，因为操作系统不允许创建一个具有相同名称的文件）。...报告总结道：“‘UAC-0099’使用的战术虽简单，但却十分有效。

3801 0

伪装成税务文件的“银狐”：中国背景APT组织首次用印度所得税诱饵发动精准网络间谍战

主题写着：“关于您公司2024-25财年税务申报的紧急通知”，附件是一个名为“tax_affairs.pdf.exe”的文件。...“我们不能仅凭IP归属或代码注释就下结论，”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时强调，“但Silver Fox的作业模式——长期潜伏、低频通信、精准打击关键基础设施——确实带有国家级APT...三、技术拆解：PDF.exe？不，是披着羊皮的狼此次攻击最核心的欺骗手段，在于利用Windows默认隐藏文件扩展名的特性。...由于Windows默认关闭“显示已知文件类型的扩展名”选项，普通用户看到的只是一个普通的PDF图标，极易误点。...邮件网关强化强制重命名所有.exe、.scr、.js等可执行附件为.zip，阻断直接运行；启用沙箱动态分析，对PDF、Office文档进行行为监控；部署SPF/DKIM/DMARC，防止发件人伪造。

3671 0

基于社交信任链劫持的Konni组织多阶段攻击机制研究

攻击者利用这一受信渠道，向受害者的联系人发送带有恶意附件的消息，从而将受害者转化为攻击跳板，实现病毒式的横向扩散。...当受害者看到与自己工作高度相关的“好消息”时，其第一反应往往是欣喜和好奇，而非怀疑和验证。攻击者正是利用了这一心理弱点，诱导受害者点击附件或执行其中的操作。...在Windows默认设置下，文件扩展名往往被隐藏，用户看到的只是一个PDF图标和看似正常的文件名，极易误认为是普通文档而双击打开。然而，这并非真正的PDF文件，而是一个可执行的脚本容器。...诱饵展示：在执行恶意操作的同时，调用系统默认的PDF阅读器打开一个真实的、无害的PDF文档（即诱饵），以安抚用户，使其认为刚才的操作只是正常打开了文档，从而掩盖后台的恶意活动。...例如，某个平时很少发送文件的用户突然频繁发送ZIP附件，或者发送频率异常高，这些都可能是被劫持的信号。用户实体行为分析（UEBA）：建立用户的正常行为基线。

881 0

电子邮件PDF附件钓鱼的技术剖析与防御策略

然而，攻击者也在持续升级其战术，利用PDF附件作为钓鱼载荷的传播媒介，通过伪造身份诱导用户输入敏感信息，从而绕过传统安全检测机制。...1.2 绕过传统邮件过滤机制大多数邮件安全网关（如Proofpoint、Mimecast、Cisco ESA）主要依赖以下规则检测恶意附件：文件哈希黑名单（如VirusTotal）、可执行文件扩展名（....账户安全警告”攻击者发送一封标题为“Your Microsoft Account Requires Verification”的邮件，附件名为security_alert.pdf。...高风险行为存在密码输入框25直接用于凭证窃取外链指向非常规域名20如短链、新注册域名嵌入图像与知名品牌匹配15使用图像识别比对文档创建时间异常（未来时间）10常见于伪造文档4.2 沙箱环境中的动态行为监控建议在隔离环境中使用...随着AI生成内容技术的发展，攻击者可能自动生成高度个性化钓鱼PDF。安全无小事，应警惕每一份“看似无害”的PDF。作者：庞佳、芦笛中国互联网络信息中心编辑：芦笛（公共互联网反网络钓鱼工作组）

6041 0

警惕新型“隐形”钓鱼攻击：SVG文件成网络诈骗新温床

图片与传统钓鱼邮件常附带的Word、PDF或压缩文件不同，这种新型攻击手段将恶意代码隐藏在看似无害的SVG图像文件中。...攻击者常伪装成银行、支付平台或内部IT部门，发送“账户异常通知”“发票更新”“系统升级”等主题邮件，诱导员工点击SVG附件。...部分邮件安全系统仅识别文件扩展名，而不会深入解析其内容，使得这些“带毒”图像得以绕过防线。面对这一新威胁，专家呼吁企业和个人提高警惕。...但专家认为，防御的根本仍在于“人防+技防”结合。“技术总是在攻防两端不断演进，”芦笛总结道，“今天的SVG，明天可能是其他格式。保持警惕、及时更新防护策略，才是应对网络钓鱼的长久之计。”...编辑：芦笛（公共互联网反网络钓鱼工作组）

4111 0

ASRC 2021 年第二季度电子邮件安全观察

守内安与ASRC针对第二季重要的攻击手法与样本进行以下分析：诈骗及钓鱼邮件仍十分盛行第二季全球疫情因为病毒变种的关系，许多地区仍实施远程工作或在家上班。...钓鱼邮件看似威胁性不大，可一旦账号密码被钓，攻击者即可能透过开放的远程工作对外服务，及单一账号认证服务 (SSO，Single sign-on) 合法使用企业开放的服务，而形成入侵企业的破口。 ?...双扩展名的恶意文档第二季出现不少双重扩展名的攻击性电子邮件。由于部分自动程序或操作习惯的缘故，会出现一个档案看似有两个扩展名，而计算机对于这种档案的判读是以最后一个扩展名为主。....pdf.ppam 的攻击附件被执行后，会透过暗藏的 vba 向外下载恶意文件 ? 暗藏的 vba 连往 bitly.com 的短网址位置 ?...编码文件进行译码，可看到完整的攻击程序总结综合上述样本的攻击来看，使用不易侦测的手法来躲避触发安全警报是攻击者的趋势，但我们从这些样本也发现，由于过度的迂回，及使用模糊的合法服务，这些都会与企业一般的沟通互动行为相违背

7304 0

犯罪寻找出路：网络犯罪生态系统的进化与探索

【在攻击链中使用PDF的犯罪团伙】 TA570是第一批使用PDF附件的大型网络犯罪分子之一，这些PDF附件的URL指向一个压缩的受密码保护的IMGfile，其中包含最终指向Qbot的快捷文件。...在这次活动中，PDF附件包含嵌入的URL，有趣的是，开源工具（例如PDF -id.py）和恶意软件沙箱无法解析嵌入的URL。...【恶意的加密PDF文件示例】 OneNote大爆炸跟随领导者现象的一个突出例子始于2022年12月，当时Proofpoint研究人员首次观察到使用OneNote文档发送恶意软件的未归因活动，特别是...Proofpoint观察到威胁行为者通过OneNote文件（.one扩展名）通过电子邮件附件和url传递恶意软件。...此外，微软在2023年3月宣布OneNote将阻止具有危险扩展名的嵌入式文件。

1K4 0

银狐组织利用税务诱饵对印度实体的APT攻击分析

附件名为“tax_affairs.pdf.exe”或“TOPSOE_India_Details.exe”，利用Windows默认隐藏已知文件扩展名的特性，使用户误认为是PDF文档。...邮件网关若未强制显示完整扩展名或未对.exe进行深度拦截，极易漏判。4.2 静态检测无法应对混淆载荷银狐使用的多层编码与资源段隐藏技术，使文件哈希、字符串特征频繁变化，导致基于签名的AV产品失效。...4.3 网络层检测被合法协议掩盖C2通信全程使用HTTPS，且域名模仿合法云服务（如“cloudsync-service.top”），与正常SaaS流量无异。...其次，强化邮件安全策略：强制显示完整文件扩展名；默认阻止所有.exe、.scr、.js等可执行附件；对声称来自政府机构的邮件实施SPF/DKIM/DMARC严格验证。...编辑：芦笛（公共互联网反网络钓鱼工作组）

3121 0

订阅消息失败_无法进入苹果订阅页面

如果呈现视图超过此时间限制，则工作簿中的下一个视图会由于超时而导致作业失败。大部分情况下，此默认时间已经足够。但如果后台进程在处理极大且非常复杂的仪表板，30 分钟可能就不够。...在所有实例上将订阅保持为启用状态会导致您用户接收到看起来有效但实际无法运作的订阅，或接收到已在视图或工作簿上取消的订阅。...缺少 PDF 附件您可以将 PDF 附件添加到订阅中(如果管理员已启用该功能)。如果订阅中缺少 PDF 附件，可能是因为 PDF 的大小超过了电子邮件服务器大小限制或服务器管理员设置的最大大小限制。...无法将订阅频率设置为“数据刷新时” 如果工作簿使用一个数据提取已发布连接，可以将订阅设置为在数据提取刷新时运行。...创建或修改订阅时，如果工作簿使用以下各项，则您可能不会看到“频率”选项：多个数据提取刷新实时数据连接订阅没有到达(“发送电子邮件时出错。无法向 SMTP 主机发送命令。”)

4.7K1 0

点击加载更多

基于双重扩展名伪装与即时通讯C2的钓鱼攻击机理研究

如何远离勒索病毒避免成为黑客“挖矿机”

警惕“发票陷阱”：揭秘境外间谍的网络钓鱼攻击与防御

文件安全面临哪些威胁？如何保证文件安全？这5个习惯很重要！

伪装成监管文件的“狼爪”：Arcane Werewolf组织如何用钓鱼邮件撕开俄罗斯制造企业的数字防线？

基于多阶段注入的VIP键盘记录器鱼叉钓鱼攻击分析与防御

企业邮件安全架构演进：从边界防御到智能动态感知

多国行业遭“发票钓鱼”围猎，专家：小心那个“双后缀”附件

Efimer木马的攻击机制分析与企业防御体系构建

python 使用stmp发送邮件

冒充警察发“传唤令”？以色列钓鱼新骗局敲响全球警钟

利用WinRAR零日漏洞，俄黑客大肆攻击乌克兰

伪装成税务文件的“银狐”：中国背景APT组织首次用印度所得税诱饵发动精准网络间谍战

基于社交信任链劫持的Konni组织多阶段攻击机制研究

电子邮件PDF附件钓鱼的技术剖析与防御策略

警惕新型“隐形”钓鱼攻击：SVG文件成网络诈骗新温床

ASRC 2021 年第二季度电子邮件安全观察

犯罪寻找出路：网络犯罪生态系统的进化与探索

银狐组织利用税务诱饵对印度实体的APT攻击分析

订阅消息失败_无法进入苹果订阅页面

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐