概述

腾讯御界高级威胁检测系统近期监测到黑客通过爆破某客户的管理员邮箱账号，得手后通过管理员邮箱大肆发送勒索邮件。

腾讯驻场工程师通过对客户现场的御界高级威胁检测系统进行巡检，及时发现了威胁，向客户通报并采取必要措施，避免进一步遭受损失。

详细分析

腾讯工程师在巡检的过程中，发现客户邮箱被爆破并成功登录。

通过检索 腾讯御界高级威胁检测系统 的日志发现，客户的邮箱管理员账号受到了来自国外主机78.128.113.67的爆破攻击：

通过分析发现，黑客通过公开的一些用户资料，使用了邮箱账号拼接数字弱密码的形式对客户的管理员账户进行爆破。

随后黑客成功登录客户管理员邮箱。

客户的管理员账号也是简单的XXXadmin@XXX.cn格式，其中XXX为客户域名中的名字，很容易被黑客猜中。

黑客成功登录管理员邮箱后，大肆群发恶意邮件：

群发的邮件主题较为惊悚，使用了“Alert”，"hacked"，"attack"，等关键字，达到恐吓受害人的目的。

邮件的内容，也是以恐吓受害人为主，骗取受害人支付赎金。

邮件中的用户信息一般是通过已经泄露的一些用户资料库，通过撞库获得目的用户的密码。

随后腾讯安全工程师及时告知客户，采取相关补救措施，防止危害近一步扩散。

安全建议

对于政企相关资产系统的账号及密码：

1、推荐企业网管避免使用“admin”,"root","Administrator"等默认帐户，可尝试重命名为自己独特个性化的字符串；

2、重要业务系统不要使用弱密码；

3、推荐部署腾讯御界高级威胁检测系统。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯安全在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。通过该系统可以及时检测到此类型的网络攻击。

IOC：

78.128.113.67