日前,深圳市網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)出緊急通告,指出目前知名遠(yuǎn)程辦公工具TeamViewer已經(jīng)被境外黑客組織APT41攻破,提醒企業(yè)組織做好防護(hù)措施。也就是說,APT41已經(jīng)攻破TeamViewer公司的所有防護(hù)體,并取得有相關(guān)數(shù)據(jù)權(quán)限,危險(xiǎn)等級(jí)非常高。在teamviewer官方提供解決方案和發(fā)布相關(guān)補(bǔ)丁之前,我們建議用戶暫停teamviewer軟件的使用,避免造成不必要的損失。
以下是teamviewer通訊方式介紹,以及如何用WSG上網(wǎng)行為管理來禁止teamviewer。
1. teamviewer通訊方式
teamviewer在啟動(dòng)時(shí),首先會(huì)連接teamviewer官網(wǎng)(http和https方式都有),來獲取ID和路由信息。如果直接連接不了,teamviewer還會(huì)獲取本機(jī)的代理配置,嘗試通過代理服務(wù)器去連接。
teamviewer后續(xù)的點(diǎn)對(duì)點(diǎn)遠(yuǎn)程控制,大部分通過的端口是tcp 5938。也存在其他動(dòng)態(tài)端口的通訊數(shù)據(jù)。
2. 禁止teamviewer的具體步驟
在WFilter系列上網(wǎng)行為管理中,我們已經(jīng)把teamviewer提取特征添加到了我們的應(yīng)用特征庫中,只需要在應(yīng)用過濾中把“teamviewer”設(shè)置成“禁止”,就可以既屏蔽teamviewer官網(wǎng),又禁止teamviewer軟件的自身通訊。配置如下圖:
3. 效果測(cè)試
經(jīng)過上述配置后,即可禁止teamviewer軟件的使用,而且可以屏蔽teamviewer網(wǎng)站。
在WSG中可以看到teamviewer軟件正在嘗試訪問teamviewer的官網(wǎng)且被禁止。
