10 月 11 日,深圳市网络与信息安全信息通报中心发出紧急通告,指出目前知名远程办公工具 TeamViewer 已经被境外黑客组织 APT41 攻破,提醒企业组织做好防护措施。也就是说,APT41已经攻破 TeamViewer公司的所有防护体,并取得有相关数据权限,危险等级非常高。
具体内容如下图:
临时解决方案
-
近期停止使用TeamViewer软件 -
在防火墙中禁止对TeamViewer通讯端口 5938的访问 -
打开防火墙,设置禁止对teamviewer.com 域名的访问 -
在网络出口路由器设置策略,禁止teamviewer.com进出
识别及处理
科来网络全流量安全分析系统(TSA)通过对网络流量的协议识别及解码,有效识别出所有TeamViewer通信,并可以通过域名、IP、流特征等方式对TeamViewer的网络流量进行有针对性的阻断。TSA的网络全流量分析技术,还可以帮助您进行有效的数据复盘,定位问题根源,帮您了解到底发生了什么,提供增强防御体系的机会。
网络流量不会说谎,通过对网络全流量的回溯及分析,可以让我们能够了解网络上的全部行为,并通过特征匹配技术实现对各类已知威胁的检测,另一方面还可以通过行为分析对未知威胁进行检测。
网络全流量数据,包括原始数据包、统计数据、网络会话、警报等信息,通过将数据流重组实现对内容的还原。价值在于,知其然,更知其所以然。对于鉴别网络攻击是否成功、告警是否属于误报、未知威胁的发现、攻击过程的还原,以及受害面分析等都需要全量数据来做支撑。
科来通过基于“基因”级分析的深度,利用科来各类网络元数据字段对异常行为进行准确描述,从而发现未知威胁的蛛丝马迹。同时,科来凭借着多年异常流量样本和大量安全分析实战案例的积累,形成了独特的威胁情报体系,通过积累的黑IP、黑域名和黑MD5值等“机读情报”实现失陷主机的检测和威胁排序,安全分析人员也能阅读事件的上下文信息、背景信息和分析结果等“人读情报”,实施具体威胁处置。
科来可以为您提供全面而深入的网络安全分析服务,帮助您发现、定位问题,可视化了解安全问题发生的全过程,并进行安全取证,资产损失评估。如您需要服务,可以联系400 6869 069,或通过下方微信联系我们。
