TeamViewer攻陷疑云

TeamViewer

TeamViewer是一个可用于Microsoft Windows、macOS、Linux、Chrome OS、iOS、Android、Windows RT、Windows Phone 8和黑莓操作系统等的远程控制软件。除了远程控制外，TeamViewer还包含合同协作与示范等功能。

TeamViewer的强大功能：

1. 穿透内网进行远程控制 TeamViewer可穿透内网以及各种防火墙完成连接，只要连入Internet即可不受防火墙影响；
2. 无需固定IP地址 最大优势在于此软件任何一方都不需要拥有固定IP地址，软件第一次启动后会自动生成伙伴ID，只要双方连入Internet即可连接；

TeamViewer疑似被攻陷

根据FireEye在10月11日召开的FireEyeSummit大会介绍来看，自8月份发布了64页APT41报告以来，APT41的活动节奏并没有受到任何影响。FireEye还在其发布的报告中提及了APT41在各个时间段针对各种行业攻击的详细图表。

尽管FireEye并未给出确切的实际证据，但是根据其团队的调查发现了疑似APT41在TeamViewer中所留下的发起文件传输的会话痕迹。在FireEye的报告中可以看出，曾在2016年中TeamViewer的确遭到过攻击，在此之后安全部门全面审查了公司的IT架构，并添加了其他安全方案提高加强其安全性能。

在2017年3月CCleaner事件中，当时的感染用户达到227万，但其母公司Avast依然没有确切证据证实该事件为APT41组织所为，但是根据其活动以及感染用户的使用软件来看都使用了TeamViewer。据Avast称，攻击者使用TeamViwer攻击了开发人员的工作站，并使用了恶意负载的VBScript脚本。

报告中提到APT41组织通常依靠使用带有附件（例如编译的HTML（.chm）文件）的简单鱼叉式网络钓鱼电子邮件来危害受害者。一旦进入受害组织，该操作便可以利用更复杂的TTPs（tactics, techniques, and procedures），并部署其他恶意软件工具。其中值得注意的是，FireEye发现TeamViewer凭证被用作多个入侵的入口点。

2017年7月，攻击者启动了TeamViewer会话来传输文件，并在之后将其删除。从其文件名和创建的时间来看，可能是HIGHNOON后门。

2018年5月，这次的攻击指向了医疗保健领域公司。在入侵期间，攻击者通过TeamViewer会话传输了与CROSSWALK后门关联的DLL文件，并在其之后部署了CROSSWALK后门。

其中值得注意的是，FireEye推测APT41组织对TeamViewer实施了网络攻击，并获取到了TeamVeiwer公司的的后台管理系统，如果情报推测准确，那么攻击者可以访问并控制任何安装了TeamViewer的系统。

不论是在报告中还是在大会现场，FireEye并未给出直接证据指向针对TeamViewer的攻击者，但是不排除TeamViewer管理系统存在安全隐患的可能。

防范方案

1. 在核心业务服务终端上禁止使用TeamViewer系列的各种软件，以防给攻击者创造机会。
2. 在防火墙设置ACL，禁止外部公网传入内网TeamViewer端口（如5938）的流量。
3. 通过Web应用防火墙或者其它设备，禁止单位内主机回连TeamViewer域名。

本人会密切关注TeamViewer官方，另外请大家及时更新软件。

链接

Twitter FireEyeSummit话题链接：

https://twitter.com/hashtag/FireEyeSummit FireEye报告链接：

https://content.fireeye.com/apt-41/rpt-apt41/ TeamViewer官方网站：

https://www.teamviewer.com