在重保客户应用场景,攻击者手握大量漏洞武器,其中不乏0day漏洞。其中,由于安全防护软件本身具有较高的权限、相对集中的部署节点,对入侵者来说具有特殊价值,攻击方会针对各安全产品存在的安全漏洞进行重点突破。
腾讯安全专家服务团队针对上述这些高危漏洞进行应急响应,第一时间升级数百个漏洞应急检测规则,增强各云主机的漏洞检测能力。将腾讯安全威胁情报获得的攻击者IP数据与腾讯天幕(NIPS)联动,实时阻断攻击行动。
2020年12月,腾讯安全主机安全产品检测到Sysrv-hello僵尸网络团伙对企业云主机的攻击,该团伙拥有十来个漏洞攻击武器,在攻陷一台云主机之后,还会继续下载更多弱口令爆破工具,Weblogic远程代码执行漏洞等攻击工具,在企业云主机之间横向扩散,该团伙的攻击目标覆盖Windows和Linux双平台。仅仅一周之后,腾讯安全团队再次监测发现该团伙又升级了14个漏洞武器,这些新漏洞武器覆盖面较广,影响范围达数万台云主机,该团伙的最终目标,是控制所有失陷系统组成挖矿僵尸网络。
Sysrv-hello僵尸网络利用的漏洞武器部分列表
