“冰蝎”是近几年比较流行的WebShell客户端,它可以通过建立加密隧道躲避安全设备的检测,是攻击者热衷使用的攻击工具。在众多数据窃取、网站勒索等攻击事件中,“冰蝎”都是核心帮凶,在近两年的攻防演练活动中也屡屡现身。
一
冰蝎3.0情况分析
近日发布的“冰蝎3.0”取消了动态密钥协商机制,使得现有安全设备对于新“冰蝎”的防护手段失效。本次发布版本的主要变化包括:
1.去除动态密钥协商机制,采用预共享密钥,全程无明文交互;
2.UI框架由awt改为javafx,重写了大量逻辑。
二
防护建议
已购买天融信入侵防御系统(TopIDP)的客户,可以升级攻击检测规则库进行有效防护。
规则TID:29416、29417,攻击检测规则库版本号:ips-v2020.08.25;
下载地址:ftp://ftp.topsec.com.cn/入侵防御(TOPIDP)/规则库升级/ips-v2020.08.25.tir
已购买天融信僵尸网络木马和蠕虫监测与处置系统(TopTVD)的客户,可以升级攻击检测规则库进行有效检测。
规则TID:29416、29417,攻击检测规则库版本号:ngips-v2020.08.25.001;
下载地址:ftp://ftp.topsec.com.cn/天融信下一代入侵防御系统(NGIDP)/攻击检测规则库/ngips-v2020.08.25.001.tor
三
检测效果
天融信入侵防御系统(TopIDP)
天融信僵尸网络木马和蠕虫监测与处置系统(TopTVD)
四
产品咨询
热·点·推·荐
领取专属 10元无门槛券
私享最新 技术干货