安基網 首頁 資訊 安全報 查看內容

Teamviewer疑似遭遇APT組織攻擊

2019-10-12 11:21| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: TeamViewer是一個能在任何防火墻和NAT代理的后臺用于遠程控制的應用程序,桌面共享和文件傳輸的簡單且快速的解決方案。為了連接到另一臺計算機,只需要在兩臺計算機上同時運行 TeamViewer 即可,而不需要進行安裝(也可以選擇安裝,安裝后可以設置開機運行)。該軟件第一次啟動在兩臺計算機上自動生成伙 ...

TeamViewer是一個能在任何防火墻和NAT代理的后臺用于遠程控制的應用程序,桌面共享和文件傳輸的簡單且快速的解決方案。為了連接到另一臺計算機,只需要在兩臺計算機上同時運行 TeamViewer 即可,而不需要進行安裝(也可以選擇安裝,安裝后可以設置開機運行)。該軟件第一次啟動在兩臺計算機上自動生成伙伴 ID。只需要輸入你的伙伴的ID到TeamViewer,然后就會立即建立起連接。


不過今天有一個刷遍朋友圈的消(噩)息(耗)


有業內大佬分析:

其實Teamviewer很早就被各大黑客組織盯上了,被利用作為后門程序。早在2016年也報道出了黑客組織入侵的事件

該事件中,惡意軟件啟動TeamViewer后,其會獲取TeamViewer窗口的用戶ID(leon)以及密碼(vivi),并將主機名+ “|” + 用戶名(well),以及固定的一串VPD開頭的值(vip),構造成數據包的主要內容。

Vip這個字段的功能,在溯源分析后才發現其作用。


硬編碼C2地址:


從抓包結果可見,與分析結果一致。


當攻擊者獲取到受害者的Teamviewer賬號和密碼后,其就會進行回連以便控制受害者電腦并進行進一步操作。

結合今天的消(噩)息(耗),是不是有一種卸載的沖動?

說走咱就走




拜拜了您咧!!

等等等。。。

不想卸載還有小小的挽回手段

自查方式:(以TeamViewer14為例子)

1、在TeamViewer安裝目錄中(默認:C:program Files(x86)TeamViewer) 下打開TeamViewer14_Logfile文件;

2、在記事本中,點擊“編輯”-“查找”,輸入關鍵字“Writefile"(區分大小寫)查看是否存在文件傳輸操作;

3、打開TeamViewer14_Logfile_OLD.log文件,重復步驟2操作。

:如果出現上面過程中發現存在相應關鍵字的內容,且時間節點沒有進行上述操作,請立即聯系信息安全管理部獲取支持。

建議公司官方提供的其他接入內網,使用RDP、SSH等方式鏈接遠程主機,確保安全。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6746731330265940484/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧