“冰蝎3.0”来袭！天融信IPS、僵木蠕产品可遏制

“冰蝎”是近几年比较流行的WebShell客户端，它可以通过建立加密隧道躲避安全设备的检测，是攻击者热衷使用的攻击工具。在众多数据窃取、网站勒索等攻击事件中，“冰蝎”都是核心帮凶，在近两年的攻防演练活动中也屡屡现身。

一

冰蝎3.0情况分析

近日发布的“冰蝎3.0”取消了动态密钥协商机制，使得现有安全设备对于新“冰蝎”的防护手段失效。本次发布版本的主要变化包括：

1.去除动态密钥协商机制，采用预共享密钥，全程无明文交互；

2.UI框架由awt改为javafx，重写了大量逻辑。

二

防护建议

已购买天融信入侵防御系统（TopIDP）的客户，可以升级攻击检测规则库进行有效防护。

规则TID：29416、29417，攻击检测规则库版本号：ips-v2020.08.25；

下载地址：ftp://ftp.topsec.com.cn/入侵防御（TOPIDP）/规则库升级/ips-v2020.08.25.tir

已购买天融信僵尸网络木马和蠕虫监测与处置系统（TopTVD）的客户，可以升级攻击检测规则库进行有效检测。

规则TID：29416、29417，攻击检测规则库版本号：ngips-v2020.08.25.001；

下载地址：ftp://ftp.topsec.com.cn/天融信下一代入侵防御系统(NGIDP)/攻击检测规则库/ngips-v2020.08.25.001.tor

三

检测效果

天融信入侵防御系统（TopIDP）

天融信僵尸网络木马和蠕虫监测与处置系统（TopTVD）

四

产品咨询

热·点·推·荐