近期境外黑客组织APT41对TeamViewer实施了网络攻击,并已成功拿下该公司的后台管理系统,使得黑客组织可以访问并控制任何安装了TeamViewer的客户端。也就是说,APT41已经攻破TeamViewer公司的所有防护体,并取得所有相关数据权限,危险等级非常高。
关于此事件,多个网络与信息安全监测与预警单位高度重视,江苏网警、深圳网络与信息安全信息通报中心等单位,相继紧急发布了TeamViewer安全通报及防护措施,提醒企业组织做好防护措施。
自查方式(以TeamViewer14为例)
针对本次TeamViewer后台管理程序被黑客组织攻破的事件,使安装了TeamViewer的客户端均可能被控制,建议各单位对TeamViewer安全事件开展自查工作。
1.在TeamViewer安装目录(默认路径为:C:Program Files (x86)TeamViewer),打开TeamViewer14_Logfile.log文件。
2.在记事本中,点击“编辑”-“查找”,输入关键字“Write file” (区分大写)查看是否存在写入文件操作,输入关键字“file transfer”查看是否存在文件传输操作。
3.打开TeamViewer14_Logfile_OLD.log文件,重复2操作。
如果上述过程中发现存在相应的关键字内容,且相应时间节点本人未进行上述操作,请立即联系信息安全管理部门获取支持。
应对之道
1.卸载TeamViewer远程管理软件。
2.在防火墙中禁止用于TeamViewer远程通讯的5938端口。
3.通过Web应用防火墙或其他设备禁止单位内主机回连teamviewer.com域名。
4.及时安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀。
5.尽快将数据进行备份,并且定期对数据进行备份。
6.部署优炫操作系统增强系统用于对安装软件进行黑白名单限制,对操作系统内重要文件和安全内核程序进行保护。
尊敬的各位用户,如您发现存在被TeamViewer控制客户端的情况,请及时联系我们,优炫安全服务团队为您保驾护航。
2019-10-14 01:55:20
