TeamViewer攻陷疑云
TeamViewer
TeamViewer是一个可用于Microsoft Windows、macOS、Linux、Chrome OS、iOS、Android、Windows RT、Windows Phone 8和黑莓操作系统等的远程控制软件。除了远程控制外,TeamViewer还包含合同协作与示范等功能。
-
穿透内网进行远程控制
TeamViewer可穿透内网以及各种防火墙完成连接,只要连入Internet即可不受防火墙影响;
-
无需固定IP地址
最大优势在于此软件任何一方都不需要拥有固定IP地址,软件第一次启动后会自动生成伙伴ID,只要双方连入Internet即可连接;
TeamViewer疑似被攻陷
根据FireEye在10月11日召开的FireEyeSummit大会介绍来看,自8月份发布了64页APT41报告以来,APT41的活动节奏并没有受到任何影响。FireEye还在其发布的报告中提及了APT41在各个时间段针对各种行业攻击的详细图表。
尽管FireEye并未给出确切的实际证据,但是根据其团队的调查发现了疑似APT41在TeamViewer中所留下的发起文件传输的会话痕迹。在FireEye的报告中可以看出,曾在2016年中TeamViewer的确遭到过攻击,在此之后安全部门全面审查了公司的IT架构,并添加了其他安全方案提高加强其安全性能。
在2017年3月CCleaner事件中,当时的感染用户达到227万,但其母公司Avast依然没有确切证据证实该事件为APT41组织所为,但是根据其活动以及感染用户的使用软件来看都使用了TeamViewer。据Avast称,攻击者使用TeamViwer攻击了开发人员的工作站,并使用了恶意负载的VBScript脚本。
报告中提到APT41组织通常依靠使用带有附件(例如编译的HTML(.chm)文件)的简单鱼叉式网络钓鱼电子邮件来危害受害者。一旦进入受害组织,该操作便可以利用更复杂的TTPs(tactics, techniques, and procedures),并部署其他恶意软件工具。其中值得注意的是,FireEye发现TeamViewer凭证被用作多个入侵的入口点。
2017年7月,攻击者启动了TeamViewer会话来传输文件,并在之后将其删除。从其文件名和创建的时间来看,可能是HIGHNOON后门。
2018年5月,这次的攻击指向了医疗保健领域公司。在入侵期间,攻击者通过TeamViewer会话传输了与CROSSWALK后门关联的DLL文件,并在其之后部署了CROSSWALK后门。
其中值得注意的是,FireEye推测APT41组织对TeamViewer实施了网络攻击,并获取到了TeamVeiwer公司的的后台管理系统,如果情报推测准确,那么攻击者可以访问并控制任何安装了TeamViewer的系统。
不论是在报告中还是在大会现场,FireEye并未给出直接证据指向针对TeamViewer的攻击者,但是不排除TeamViewer管理系统存在安全隐患的可能。
防范方案
-
在核心业务服务终端上禁止使用TeamViewer系列的各种软件,以防给攻击者创造机会。
-
在防火墙设置ACL,禁止外部公网传入内网TeamViewer端口(如5938)的流量。
-
通过Web应用防火墙或者其它设备,禁止单位内主机回连TeamViewer域名。
本人会密切关注TeamViewer官方,另外请大家及时更新软件。
链接
Twitter FireEyeSummit话题链接:
https://twitter.com/hashtag/FireEyeSummit
FireEye报告链接:
https://content.fireeye.com/apt-41/rpt-apt41/
TeamViewer官方网站:
https://www.teamviewer.com
本文作者:ChaMd5安全团队
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/115307.html
必填 您当前尚未登录。 登录? 注册
必填(保密)