近日,有消息指出目前知名远程办公工具 TeamViewer 已经被境外黑客组织攻破所有防护体,并取得有相关数据权限,危险等级非常高,提醒企业组织做好防护措施。
TeamViewer是一个能在任何防火墙和NAT代理的后台用于远程控制的应用程序,桌面共享和文件传输的简单且快速的解决方案。
客户端启动时查询router.teamviewer.com的A记录和AAAA记录。
选择最近router建立tcp连接,并获取ID信息。
随后客户端查询udp.ping.teamviewer.com域名A记录与AAAA记录,并依次向每个IP发送UDP数据包测试UDP连通性。
TeamViewer客户端不主动开放监听端口,无法通过扫描进行识别,但启动后会向udp.ping.teamviewer.com发起通信请求,因此可以利用PRS系统构建发现Teamviewer通信行为模型。
在风险中发现内网活跃主机信息。
利用数据仓库热数据teamviewer建连行为。
排查通信主机TeamViewer使用情况,停止TeamViewer远程管理软件的使用;
利用防火墙等防护设备禁止内网主机对*.teamviewer.com域名的回连。
针对本次TeamViewer被远程控制事件,如有任何疑问或需要更多支持,可通过以下方式与我们取得联系。
联系电话:400-156-9866
Email:[email protected]
PRS-NTA是斗象智能安全平台系列产品之一,通过旁路部署网络流量监听,结合AI技术与大数据分析引擎的全流量存储与智能分析系统。
采用大数据架构,全流量协议解析与存储(支持PCAP原始凭证和文件还原),实时秒级检索查询;IoC调查画布,精准定位风险信息,可视化方式快速展示事件关联关系与攻击过程。
通过对多点事件的关联分析,结合攻击链安全模型,摒除单维依赖关系,依据风险属性及危害,对风险进行智能量化评估,实现精准快速预警。
采用AI+大数据分析技术,实时检测和深度挖掘数据中潜在的安全威胁、APT攻击、异常行为和运维风险,数百种智能检测模型和关联分析图谱,AI构建“千人千面”的动态预警基线,有效提升安全运营效率,大幅提升威胁检出准确率。
主被动IT资产识别,大数据中捕获、识别并深度抓取企业内网全量资产数据、互联关系,绘制资产档案,构建企业资产风险监控体系。
*本文作者:斗象智能安全平台,转载请注明来自FreeBuf.COM