Teamviewer疑似遭遇APT组织攻击

    TeamViewer是一个能在任何防火墙和NAT代理的后台用于远程控制的应用程序，桌面共享和文件传输的简单且快速的解决方案。为了连接到另一台计算机，只需要在两台计算机上同时运行 TeamViewer 即可，而不需要进行安装（也可以选择安装，安装后可以设置开机运行）。该软件第一次启动在两台计算机上自动生成伙伴 ID。只需要输入你的伙伴的ID到TeamViewer，然后就会立即建立起连接。

不过今天有一个刷遍朋友圈的消（噩）息（耗）

有业内大佬分析：

其实Teamviewer很早就被各大黑客组织盯上了，被利用作为后门程序。早在2016年也报道出了黑客组织入侵的事件

该事件中，恶意软件启动TeamViewer后，其会获取TeamViewer窗口的用户ID（leon）以及密码（vivi），并将主机名+ “|” + 用户名（well），以及固定的一串VPD开头的值(vip)，构造成数据包的主要内容。

Vip这个字段的功能，在溯源分析后才发现其作用。

硬编码C2地址：

从抓包结果可见，与分析结果一致。

当攻击者获取到受害者的Teamviewer账号和密码后，其就会进行回连以便控制受害者电脑并进行进一步操作。

结合今天的消（噩）息（耗），是不是有一种卸载的冲动？

说走咱就走

拜拜了您咧！！

等等等。。。

不想卸载还有小小的挽回手段

自查方式：（以TeamViewer14为例子）

1、在TeamViewer安装目录中（默认：C:program Files(x86)TeamViewer）  下打开TeamViewer14_Logfile文件；

2、在记事本中，点击“编辑”-“查找”，输入关键字“Writefile”（区分大小写）查看是否存在文件传输操作；

3、打开TeamViewer14_Logfile_OLD.log文件，重复步骤2操作。

    注：如果出现上面过程中发现存在相应关键字的内容，且时间节点没有进行上述操作，请立即联系信息安全管理部获取支持。

    建议公司官方提供的其他接入内网，使用RDP、SSH等方式链接远程主机，确保安全。

原文始发于微信公众号（洛米唯熊）：Teamviewer疑似遭遇APT组织攻击