应急通告 | 利用PRS产品排查内网TeamViewer受影响资产
2019-10-12 19:24:12 Author: www.freebuf.com(查看原文) 阅读量:228 收藏

近日,有消息指出目前知名远程办公工具 TeamViewer 已经被境外黑客组织攻破所有防护体,并取得有相关数据权限,危险等级非常高,提醒企业组织做好防护措施。

TeamViewer是一个能在任何防火墙和NAT代理的后台用于远程控制的应用程序,桌面共享和文件传输的简单且快速的解决方案。

TeamViewer简易通信过程

000.jpg

客户端启动时查询router.teamviewer.com的A记录和AAAA记录。

002.jpg

选择最近router建立tcp连接,并获取ID信息。

003.jpg

随后客户端查询udp.ping.teamviewer.com域名A记录与AAAA记录,并依次向每个IP发送UDP数据包测试UDP连通性。

004.jpg

005.png006.jpg

应对措施

(1)构建TeamViewer软件通信行为策略

TeamViewer客户端不主动开放监听端口,无法通过扫描进行识别,但启动后会向udp.ping.teamviewer.com发起通信请求,因此可以利用PRS系统构建发现Teamviewer通信行为模型。

007.jpg

(2)识别活跃主机信息

在风险中发现内网活跃主机信息。

008.jpg

利用数据仓库热数据teamviewer建连行为。

009.jpg

010.jpg

(3)监管与控制 

排查通信主机TeamViewer使用情况,停止TeamViewer远程管理软件的使用; 

利用防火墙等防护设备禁止内网主机对*.teamviewer.com域名的回连。

针对本次TeamViewer被远程控制事件,如有任何疑问或需要更多支持,可通过以下方式与我们取得联系。

联系电话:400-156-9866

Email:[email protected]

PRS-NTA 全流量存储与智能分析系统

PRS-NTA是斗象智能安全平台系列产品之一,通过旁路部署网络流量监听,结合AI技术与大数据分析引擎的全流量存储与智能分析系统。

01 全流量存储,秒级溯源

采用大数据架构,全流量协议解析与存储(支持PCAP原始凭证和文件还原),实时秒级检索查询;IoC调查画布,精准定位风险信息,可视化方式快速展示事件关联关系与攻击过程。

02基于攻击链的安全场景

通过对多点事件的关联分析,结合攻击链安全模型,摒除单维依赖关系,依据风险属性及危害,对风险进行智能量化评估,实现精准快速预警。

03智能AI驱动的分析能力

采用AI+大数据分析技术,实时检测和深度挖掘数据中潜在的安全威胁、APT攻击、异常行为和运维风险,数百种智能检测模型和关联分析图谱,AI构建“千人千面”的动态预警基线,有效提升安全运营效率,大幅提升威胁检出准确率。

04全息资产测绘与识别

主被动IT资产识别,大数据中捕获、识别并深度抓取企业内网全量资产数据、互联关系,绘制资产档案,构建企业资产风险监控体系。

*本文作者:斗象智能安全平台,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/news/216572.html
如有侵权请联系:admin#unsafe.sh