關于應對Teamviewer疑似遭遇APT組織攻擊的安全建議

    發布時間:2019-10-12瀏覽次數:0

    近期,從多渠道了解到,疑似TeamViewer公司后臺管理系統被入侵,由于TeamViewer遠程控制應用(參見“軟件說明”)是基于云端服務的,所以將存在黑客訪問并控制任何安裝TeamViewer客戶端主機的可能。為避免學校服務器和主機受Teamviewer疑似遭遇APT組織攻擊影響,特建議如下:

    1)對于使用過TeamViewer的主機進行安全自查,排查是否有非正常遠程訪問(參見“自查說明”),如存在非正常訪問需要立即斷網進行全盤安全掃描和排查,并做好重要數據備份。

    2)近期停止使用TeamViewer遠程管理軟件,建議卸載該軟件(參見“軟件卸載說明”)。

    3)有防火墻、路由器等設備條件的用戶,可以在防火墻上禁止用于TeamViewer遠程通訊端口5938,設置禁止teamviewer.com訪問;在路由器上開啟權限,禁止teamviewer.com進出。


    軟件說明:TeamViewer是一個能在任何防火墻和NAT代理的后臺用于遠程控制的應用程序,桌面共享和文件傳輸的簡單且快速的解決方案。為了連接到另一臺計算機,只需要在兩臺計算機上同時運行TeamViewer即可,而不需要進行安裝(也可以選擇安裝,安裝后可以設置開機運行)。該軟件第一次啟動在兩臺計算機上自動生成伙伴 ID。只需要輸入你的伙伴的ID到TeamViewer,然后就會立即建立起連接。


    自查說明:(以TeamViewer14為例子)


    (1)在TeamViewer安裝目錄中(默認:C:program Files(x86)/TeamViewer),下打開TeamViewer14_Logfile文件;

    (2)在記事本中,點擊“編輯”-“查找”,輸入關鍵字“Writefile”(區分大小寫)查看是否存在文件傳輸操作;


    (3)打開TeamViewer14_Logfile_OLD.log文件,重復步驟2操作。


    如果出現上面過程中發現存在相應關鍵字的內容,且時間節點沒有進行上述操作,就可能存在非正常訪問,需要進行安全排查。

    (文檔內容來源致謝:https://vulsee.com/archives/vulsee_2019/1011_9038.html,https://www.landiannews.com/archives/65057.html等)


    軟件卸載說明:使用TeamViewer卸載功能進行卸載,并刪除各類設置(截圖來源:https://vulsee.com/archives/vulsee_2019/1011_9038.html

    Teamviewer疑似遭遇APT組織攻擊

    Teamviewer疑似遭遇APT組織攻擊

    Teamviewer疑似遭遇APT組織攻擊


    彩票联盟