6月1日周三,TeamViewer網(wǎng)站無法訪問,據(jù)說原因是由針對TeamViewer DNS-Server基礎(chǔ)架構(gòu)的拒絕服務(wù)攻擊(DoS)造成的。TeamViewer隨后作出回應(yīng),表示會盡快修復(fù)問題,使所有服務(wù)恢復(fù)正常。
關(guān)于TeamViewer
TeamViewer GmbH公司創(chuàng)建于2005年,總部位于德國,致力于研發(fā)和銷售高端的在線協(xié)作和通訊解決方案。TeamViewer是世界上最流行的遠程控制和在線會議軟件供應(yīng)商之一,在全球擁有超過200萬用戶。
網(wǎng)站無法訪問
TeamViewer的網(wǎng)站于周三大約12點時無法訪問,下午12點50分左右又在部分地區(qū)恢復(fù)了正常,此次故障的根源似乎在于DNS服務(wù)器。
但是,TeamViewer的許多客戶都認為他們的電腦受到了黑客的惡意訪問。并向Reddit表明了他們的擔(dān)憂,分享了他們的想法并試圖尋找答案。甚至還有用戶報告稱他們的PayPal和銀行賬戶同時被黑。
【Reddit部分截圖】
Reddit的用戶ShatteredAutumn說:
“我使用了一個很強的密碼,是為TeamViewer單獨設(shè)置的,但黑客還是侵入并清理了我的銀行賬戶。他們在登錄之后,使用ChromePass看到了我存儲在Chrome里的密碼。”
另一名Reddit用戶Jekerdud說:
“黑客通過隨機非接觸式遠程進入我的電腦,清空了我的銀行賬戶。”
TeamViewer:我們沒安全漏洞
這已經(jīng)不是TeamViewer第一次受到黑客攻擊傳聞的困擾了。5月23日,TeamViewer就曾否認他們的安全存在問題,稱只是遇到了技術(shù)問題,否認黑客入侵。而用戶PayPal和銀行賬戶被黑可能是與最近的大量賬號泄露有關(guān),包括 LinkedIn在內(nèi)的社交網(wǎng)站有數(shù)億賬號泄露,而很多人可能共享了密碼。
TeamViewer團隊在Twitter中寫道:
“我們只是遇到了一些技術(shù)問題,我們的DNS服務(wù)器遭受了拒絕服務(wù)攻擊,TeamViewer自身并不存在安全漏洞。”
網(wǎng)友熱議
以下內(nèi)容作者:Flanker Edward
鏈接:https://www.zhihu.com/question/47032433/answer/104011219
來源:知乎
從目前的討論來看:攻擊者目的明確,手段統(tǒng)一,屬于批量快速作案:ebay amazon購買充值卡/paypal轉(zhuǎn)賬,提取瀏覽器密碼,安裝后門
TeamViewer的dns又恰好出現(xiàn)一段時間outage,有人指出域名被指向了天朝的IP[1],部分受害者表示遠程登錄的IP同樣來自天朝[2]和一些VPS肉雞,被黑的TeamViewer版本都是11[3],不能排除流量劫持更新包的可能。有受害者表示開啟了二次驗證并沒有泄漏密碼的依然被黑,事件并不像簡單的撞庫。
有意思的一個細節(jié)是在具有自動化批量攻擊技術(shù)可能的前提下,攻擊仍然是人肉鏈接受害者電腦然后進行操作的方式進行,猜測這里也存在著洗號-批量分發(fā)人工嘗試的鏈條。有受害者發(fā)現(xiàn)如果攻擊者嘗試登陸的電腦里設(shè)置了系統(tǒng)登錄密碼,這臺電腦會被跳過繼續(xù)嘗試其他的。
這里面有個問題是,TeamViewer連接上目標(biāo)機后一般是需要過系統(tǒng)自身鎖屏的,現(xiàn)在并不知道攻擊者如何通過,還是說受害的家庭用戶一般沒有設(shè)置賬戶密碼。
部分受害者保留了malware樣本,后續(xù)如果能公開的話可以做下關(guān)聯(lián)分析。
[1]: https://twitter.com/TheRegister/status/738081254294196224
[2]: Random connection accesses ebay : teamviewer
[3]: Teamviewer Breach Masterthread
目前建議最好是暫時停用teamviewer并檢查日志和可疑訪問記錄、可疑進程、瀏覽歷史、郵箱中的轉(zhuǎn)賬記錄。如果有剛需必須使用建議開啟二次驗證、開啟賬戶登錄白名單、開啟單個設(shè)備訪問密碼。
說句題外話,在目前受害者的討論帖中基本上所有人都得到了PayPal和Amazon對賬戶被盜產(chǎn)生的操作的積極撤回處理,這要是發(fā)生在天朝有人被這樣盜用轉(zhuǎn)賬,估計責(zé)任又要被都推到受害人頭上…