如何看待遠程控制軟體TeamViewer疑似被黑?

最近24小時有大量用戶反映其電腦被黑客入侵,PayPal和銀行被盜刷,疑似途徑是通過遠程控制軟體TeamViewer. www.theregister.co.uk/2016/06/01/teamviewer_mass_breach_report/

TeamViewer denies hack after PCs hijacked, PayPal accounts drained

Remote-control tool wobbles offline, blames bad passwords for compromises

TV官方否認了這種說法,稱並未被黑,責怪用戶使用了過於簡單的密碼。

Reddit上的討論區的相關討論 https://www.reddit.com/r/teamviewer


從目前的討論來看:攻擊者目的明確,手段統一,屬於批量快速作案:ebay amazon購買充值卡/paypal轉賬,提取瀏覽器密碼,安裝後門

TeamViewer的dns又恰好出現一段時間outage,有人指出域名被指向了天朝的IP[1],部分受害者表示遠程登錄的IP同樣來自天朝[2]和一些VPS肉雞,被黑的TeamViewer版本都是11[3],不能排除流量劫持更新包的可能。有受害者表示開啟了二次驗證並沒有泄漏密碼的依然被黑,事件並不像簡單的撞庫。

有意思的一個細節是在具有自動化批量攻擊技術可能的前提下,攻擊仍然是人肉鏈接受害者電腦然後進行操作的方式進行,猜測這裡也存在著洗號-批量分發人工嘗試的鏈條。有受害者發現如果攻擊者嘗試登陸的電腦里設置了系統登錄密碼,這台電腦會被跳過繼續嘗試其他的。

這裡面有個問題是,TeamViewer連接上目標機後一般是需要過系統自身鎖屏的,現在並不知道攻擊者如何通過,還是說受害的家庭用戶一般沒有設置賬戶密碼。

部分受害者保留了malware樣本,後續如果能公開的話可以做下關聯分析。

[1]: https://twitter.com/TheRegister/status/738081254294196224

[2]: Random connection accesses ebay : teamviewer

[3]: Teamviewer Breach Masterthread

目前建議最好是暫時停用teamviewer並檢查日誌和可疑訪問記錄、可疑進程、瀏覽歷史、郵箱中的轉賬記錄。如果有剛需必須使用建議開啟二次驗證、開啟賬戶登錄白名單、開啟單個設備訪問密碼。

說句題外話,在目前受害者的討論帖中基本上所有人都得到了Amazon對賬戶被盜產生的操作的積極撤回處理,這要是發生在天朝有人被這樣盜用轉賬,估計責任又要被都推到受害人頭上...


問題是。。這軟體我都好幾個月沒法用了


Uh oh... some of my clients are using that.

DOH! &>_&<

電郵提醒客戶之後,回來答題。

「常在河邊走,哪能不濕鞋。」 TeamViewer 這麼高價值而且高調的目標,被攻擊是必然的,被成功黑掉也幾乎只是時間問題。

靜待他們官方聲明吧。

... the end


這個消息驚出我一身冷汗,看來必須要好好防範了,兩步驗證是必須開啟的。密碼必須設強密碼,最好是記在腦子裡、寫在本子上。用戶能做的就只有這些了,就怕Teamviewer有固有漏洞還不承認(中國企業的危機公關)。

Teamviewer是個好軟體,全世界的用戶非常多,用來做客服、控制實驗機器非常順手,當然目標也比較大。如果不是很多機器沒有ipv4地址,很多人也不會用TV,就直接用遠程桌面了。


嚇得我趕緊關閉了 TeamViewer 。


昨晚被黑了

大概晚上12點多,我在刷手機,然後電腦win7不受控制了,因為之前看到tv疑似被黑新聞,所以我看了一會之後就強制重啟,登錄結束tv服務守護進程,從來都沒打開客戶端。。。

然後殺毒 睡覺

早上5點左右滑鼠突然不能用了 打開任務管理器正在研究呢,突然桌面全都關閉了,滑鼠也正常了。這個時候360那一對基友還在睡覺。。。


在黑市看了看,沒有人出來對此事做出說明。

做了粗略的分析,沒有發現什麼端倪。

拿不到相關的證據。

個人覺得很可能是用戶的密碼問題,不排除撞庫的可能。


TeamViewer 11會不會監控我們的電腦的動作?感覺郵箱老被人黑了,修改密碼還是一樣,地址都在南平電信的!!


我之前也是看到這個問題,技術小白不太知道是什麼原理,看了技術大神的分析覺得吧……反正我是不敢用了……現在在用一款叫向日葵的國產軟體,挺好用的,主要是安全安心。


說個題外話:

收到郵件說:Our systems have detected unusual behavior relating to attempts to sign in to your TeamViewer account (e.g. an unknown device or new location). This could be related to the recent unprecedented large scale data thefts on popular social media platforms and other web service providers.

按照提示修改密碼,等了兩個小時也沒有收到郵件,看來這段時間是沒法用了


推薦閱讀:

如何在網路安全這條路上走得更遠?
如何在被感染黑暗幽靈(DCM)木馬的電腦上安全上網通訊?
最頂尖的黑客用什麼方法管理自己的重要密碼?
病毒代碼需要debug嗎,測試的時候難道不會損壞本地設備嗎?
如何才能加入Anonymous?

TAG:網路安全 | 黑客Hacker | 密碼 | TeamViewer |