別慌！“TeamViewer被黑門”是確有其事還是夸大其詞？一文看懂應(yīng)對(duì)方法

時(shí)間：2023-05-12 21:15:01 | 來源：網(wǎng)站運(yùn)營

時(shí)間：2023-05-12 21:15:01 來源：網(wǎng)站運(yùn)營

別慌！“TeamViewer被黑門”是確有其事還是夸大其詞？一文看懂應(yīng)對(duì)方法：“知名遠(yuǎn)程控制工具 TeamViewer 被黑！”

“黑客組織 APT41 已攻破 TeamViewer公司所有防護(hù)！”

“相關(guān)用戶系統(tǒng)可能被非法訪問！”

“不要使用！不要聯(lián)網(wǎng)！不要訪問！不要回答！”

……

相信安全圈的朋友這兩天已經(jīng)被這些消息刷屏了。其實(shí)微步在線一直在默默關(guān)注著包括該黑客團(tuán)伙在內(nèi)的上百個(gè)黑客組織。我們分析認(rèn)為:

“近期Teamviewer被黑”的傳聞，不是新聞而是舊聞，

只是一波“節(jié)奏”而已。

微步建議
相比關(guān)心TeamViewer是否被APT41控制，企業(yè)更應(yīng)該加強(qiáng)日常對(duì)TeamViewer類遠(yuǎn)控工具的監(jiān)控和管控；
相比關(guān)注APT41是否黑掉了TeamViewer公司，建議高科技公司(尤其是游戲和支付行業(yè))關(guān)注自身網(wǎng)絡(luò)是否被該團(tuán)伙控制。
最后，重要的事情說三遍：莫慌，莫慌，莫慌。

Teamviewer門是怎么火的？

這起熱炒事件的出處，是2019年10月11日的FireEye Summit大會(huì)。

美國火眼公司（FireEye）安全研究員在FireEye Summit大會(huì)分享了APT41黑客組織的故事，并提及該組織在2017至2018年期間的攻擊活動(dòng)中使用過TeamViewer工具?；鹧酃臼紫踩軜?gòu)師Christopher Glyer在轉(zhuǎn)發(fā)相關(guān)內(nèi)容時(shí)評(píng)論稱“APT41入侵了TeamViewer公司，讓他們能夠任意訪問安裝有TeamViewer的系統(tǒng)”。

由于TeamViewer是目前最流行的遠(yuǎn)程工具之一，再加上個(gè)別自媒體推波助瀾，這事迅速就火了。

真相果是如此？

“我懷疑你被黑了，但我沒有證據(jù)”

FireEye的首席安全架構(gòu)師Christopher Glyer的話，并非完全沒有道理。2019年8月7日，火眼公開發(fā)布APT41組織的分析報(bào)告，報(bào)告指出該組織曾利用TeamViewer發(fā)起過攻擊。而在早些時(shí)候的5月17日，德國《明鏡周刊》發(fā)布新聞稱該國科技公司Teamviewer曾于2016年遭遇來自黑客組織Winnti（即APT41）的攻擊，Teamviewer自稱及時(shí)發(fā)現(xiàn)并成功抵御了此次攻擊活動(dòng)，經(jīng)排查未發(fā)現(xiàn)任何客戶數(shù)據(jù)或其他敏感信息泄露。

所以，“Teamviewer被APT41入侵并控制”，只是火眼引用了《明鏡周刊》新聞進(jìn)行的推斷，并非是經(jīng)過足夠證據(jù)證實(shí)的結(jié)論。目前尚無公開的實(shí)質(zhì)證據(jù)表明有黑客成功控制了TeamViewer公司并利用權(quán)限進(jìn)行后續(xù)攻擊，火眼員工在大會(huì)期間發(fā)布的言論應(yīng)該只是基于早期事件的推論。

企業(yè)該怎么辦？

大家不要慌，微步有情報(bào)

基于目前所掌握的信息，我們認(rèn)為使用TeamViewer的用戶因此被攻擊的可能性較低。

因此，我們建議企業(yè)不必過于慌張，同時(shí)建議關(guān)注TeamViewer官方網(wǎng)站的最新公告。對(duì)于微步在線的用戶，我們的相關(guān)產(chǎn)品支持對(duì)利用TeamViewer攻擊企業(yè)內(nèi)網(wǎng)的攻擊手法的檢測，同時(shí)微步在線的黑客畫像系統(tǒng)自多年以前就已經(jīng)開始對(duì)APT41組織進(jìn)行自動(dòng)追蹤和發(fā)現(xiàn)，目前已經(jīng)掌握了數(shù)百條關(guān)于APT41的威脅情報(bào)。

需要檢測APT41的OneDNS、TIP、TDPS、API用戶，請關(guān)注產(chǎn)品的檢出告警中是否存在“Winnti”、“PassCV”、“APT41”三種標(biāo)簽的相關(guān)告警，如果有，建議保持高度關(guān)注，并高優(yōu)先級(jí)進(jìn)行處置。

需要檢測Teamviewer的TDP用戶，可以關(guān)注產(chǎn)品中是否檢出告警事件名為“遠(yuǎn)控工具流量：Teamviewer”的告警，如果有，建議高優(yōu)先級(jí)進(jìn)行處置。

如尚未部署微步在線產(chǎn)品，建議試用OneDNS，一分鐘檢測是否受此事件影響。點(diǎn)此了解OneDNS

微步在線也會(huì)密切關(guān)注此次事件的最新動(dòng)向，并結(jié)合微步在線安全云的海量數(shù)據(jù)，進(jìn)一步挖掘與此事件及APT41相關(guān)的詳細(xì)威脅情報(bào)。

APT41是誰?

APT41又名Winnti、PassCV和BARIUM，至少自2009年開始活躍，該組織主要針對(duì)歐美和亞洲地區(qū)的高科技、游戲、金融、電信、媒體、高等教育、旅行服務(wù)和醫(yī)療保健等行業(yè)進(jìn)行網(wǎng)絡(luò)攻擊，其目的為竊取合法的代碼簽名證書、游戲源碼，以及出于經(jīng)濟(jì)動(dòng)機(jī)。

該組織攻擊手法高超，曾濫用大量數(shù)字證書，使用過上百種惡意軟件，其中還包含Rootkit和Bootkit。此外，該組織還善于進(jìn)行供應(yīng)鏈攻擊，其中影響較大且極具代表性的包含2017年的XshellGhost（Netsarang公司官方發(fā)布的Xshell被植入后門）和CCleanerGhost（Piriform公司官方發(fā)布的CCleaner被植入惡意代碼）攻擊事件，以及2018年的利用華碩官方服務(wù)器和數(shù)字簽名推送惡意軟件的ShadowHammer攻擊事件。

微步在線已持續(xù)關(guān)注該組織數(shù)年時(shí)間，早在2018年6月份就曾向客戶發(fā)布威脅情報(bào)通報(bào)《**高科技和游戲等行業(yè)的數(shù)十個(gè)目標(biāo)被APT團(tuán)伙Winnti攻陷》以及相關(guān)報(bào)告，對(duì)該組織的攻擊活動(dòng)進(jìn)行了預(yù)警和通報(bào)。微步在線威脅檢測平臺(tái)（TDP）、威脅情報(bào)管理平臺(tái)（TIP）、OneDNS、威脅情報(bào)云API均早已支持對(duì)該組織攻擊活動(dòng)的檢測。