Teamviewer как правильно читать по-русски

Обновлено: 21.11.2024

Анализ TeamSpy, вредоносного ПО, которое дает хакерам полный удаленный контроль над ПК.

TeamViewer, программа удаленного управления, может быть очень удобной, когда вам нужна удаленная ИТ-поддержка. Киберпреступники, стоящие за TeamSpy, к сожалению, также считают этот инструмент весьма полезным и используют его для осуществления злонамеренной деятельности.

TeamSpy заражает компьютеры, заставляя людей загружать вредоносные вложения и запускать макросы. После этого вредоносная программа тайно устанавливает TeamViewer, предоставляя злоумышленникам полный контроль над зараженным компьютером. TeamSpy впервые появился еще в 2013 году, когда CrySyS Lab и «Лаборатория Касперского» опубликовали официальные документы о его работе. Heimdal Security недавно сообщила, что вредоносное ПО вновь появилось в ходе целевой спам-кампании. Мы тоже заметили всплеск и поэтому решили присмотреться повнимательнее.

Скрытие команд

Большинство вредоносных программ связываются с сервером управления и контроля (C&C) после заражения устройства. Как следует из названия, C&C-сервер — это центр управления, который отправляет команды для выполнения вредоносным ПО. C&C-серверы также являются местами, куда вредоносное ПО отправляет обратно собранные данные. Для этой связи авторы вредоносного ПО обычно реализуют собственный протокол, который можно легко обнаружить и отличить от другого трафика и, таким образом, заблокировать антивирусными решениями. Чтобы затруднить обнаружение антивирусными решениями, некоторые авторы вредоносных программ используют популярные программы удаленного управления, такие как TeamViewer, вместо того, чтобы использовать преимущества своей сети VPN для лучшей маскировки связи между своим вредоносным ПО и командными серверами.

Как заражает TeamSpy

TeamSpy распространяется через спам-сообщения, предназначенные для того, чтобы заставить людей открыть вложение. Во вложении файл Excel с макросами. Когда вложение открыто, появляется следующий экран:

Когда жертва активирует макросы, начинается процесс заражения, работающий полностью в фоновом режиме, поэтому жертва ничего не замечает. Если мы заглянем внутрь вредоносного макроса, то увидим слегка запутанные строки, обычно разбитые на одну или несколько подстрок, которые позже объединяются. Самая важная информация ниже обведена красным и представляет собой ссылку, по которой что-то скачивается, и пароль, который будет использоваться позже.

Ссылка, disk.karelia.pro, — это законный российский сервис для загрузки и обмена файлами. Несмотря на то, что загруженное вложение имеет формат PNG, на самом деле это файл EXE, точнее, это установщик Inno Setup, защищенный паролем.

С помощью утилиты innounp мы смогли легко получить список или извлечь файлы из установщика Inno Setup, используемые вредоносным ПО. Как показано в приведенном ниже списке, большинство файлов представляют собой обычные двоичные файлы TeamViewer с цифровой подписью, за исключением двух файлов — msimg32.dll и tvr.cfg. Tvr.cfg — это файл конфигурации TeamSpy, который будет описан позже, msimg32.dll — это сама вредоносная программа. Msimg32.dll — это библиотека DLL, входящая в состав ОС Windows. Однако в этом случае TeamSpy злоупотребляет порядком поиска DLL, так что поддельная msimg32.dll из текущего каталога загружается в процесс вместо оригинальной msimg32.dll. из каталога Windows/System32. Сама вредоносная программа находится в поддельной библиотеке msimg32.dll.

Плащ-невидимка TeamSpy

Обычно при установке TeamViewer вы видите окно графического интерфейса с идентификатором и паролем, которые необходимо знать другой стороне, если они хотят удаленно подключиться к вашему компьютеру.

Если TeamSpy успешно заражает ПК, ничего не отображается — помните, что все работает в фоновом режиме, чтобы жертва не заметила, что TeamViewer установлен.Это достигается за счет перехвата многих функций API и изменения их поведения. TeamSpy перехватывает следующие API (почти 50 различных API):

CreateMutexW, CreateDirectoryW, CreateFileW, CreateProcessW, GetVolumeInformationW, GetDriveTypeW, GetCommandLineW, GetCommandLineA, GetStartupInfoA, MoveFileExW, CreateMutexA

SetWindowTextW, TrackPopupMenuEx, DrawTextExW, InvalidateRect, InvalidateRgn, RedrawWindow, SetWindowRgn, UpdateWindow, SetFocus, SetActiveWindow, SetForegroundWindow, MoveWindow, DialogBoxParamW, LoadIconW, SetWindowLongW, FindWindowW, SystemParametersInfoW, RegisterClassExW, CreateWindowExW, CreateDialogParamW, SetWindowPos, ShowWindow, GetLayeredA , IsWindowVisible, GetWindowRect, MessageBoxA, MessageBoxW

RegCreateKeyW, RegCreateKeyExW, RegOpenKeyExW, CreateProcessAsUserW, CreateProcessWithLogonW, CreateProcessWithTokenW, Shell_NotifyIconW, ShellExecuteW

Некоторые хуки блокируют доступ приложения к определенным ресурсам, например если RegCreateKey или RegOpenKey пытается получить доступ к разделу реестра Software\TeamViewer, возвращается код ошибки: ERROR_BADKEY.

Перехват GetCommandLine заставляет TeamViewer думать, что он был запущен с предопределенным паролем (вместо случайно сгенерированного пароля пользователи TeamViewer обычно могут установить для этого пароля произвольное значение, добавив параметр командной строки)

Перехват SetWindowLayeredAttributes устанавливает непрозрачность окна TeamViewer на 0 (инструкция PUSH 0), что согласно документации MSDN означает следующее: Когда bAlpha равен 0, окно полностью прозрачно. Когда bAlpha равно 255, окно непрозрачно».

Перехват CreateDialogParam блокирует даже создание некоторых диалогов, нежелательных для вредоносных программ. Эти диалоги можно найти в файле TeamViewer_Resource_en.dll, они обозначаются номерами типа 10075, см. рисунок ниже.

В случае ShowWindow он определяет собственные параметры nCmdShow 4d2h и 10e1h. Если переданы значения, отличные от этих, ничего не происходит.

Возможно, наиболее интересным является перехват API CreateWindowEx. С помощью серии проверок имени класса он идентифицирует окно и другие элементы управления окном, принадлежащие окну чата TeamViewer. С помощью такого инструмента, как WinSpy++, мы можем увидеть все окна, принадлежащие конкретному процессу (даже если они скрыты). Как видно из рисунка ниже, есть окно ControlWin, в котором есть несколько TVWidgets. Один виджет принадлежит чату — у него два ATL. редактирования текста, одно для истории сообщений чата и одно для нового сообщения чата, одно поле со списком с раскрывающимся списком участников чата и кнопкой Отправить. «сообщение 01» — полученное сообщение в чате, «сообщение 02» — сообщение, которое будет отправлено после нажатия кнопки «Отправить». Окно чата нормально не видно, так как вредоносное ПО работает в фоновом режиме, но можно пропатчить вредоносное ПО, чтобы не происходило скрытия окон.

В приведенном ниже фрагменте кода показано, как вредоносное ПО получает дескрипторы этих оконных элементов управления. GetWindowLong и CallWindowProc и SetWindowLong с nIndex = GWL_PROC заменяет старый адрес оконной процедуры текста истории чата редактировать с помощью пользовательской оконной процедуры.

Пользовательская оконная процедура прослушивает входящие сообщения и на основе идентификатора оконного сообщения либо отправляет новое сообщение, либо ожидает ответа от C&C-сервера (получено сообщение EM_SETCHARFORMAT).< /p>

На рисунке ниже показано, как отправляется новое сообщение. Вредоносная программа сначала устанавливает фокус на редактирование текста нового сообщения с помощью WM_SETFOCUS, затем устанавливает текст редактирования нового сообщения с помощью WM_SETTEXT и, наконец, нажимает кнопку «Отправить», отправляя BM_CLICK.

Подобные изменения применяются к большинству из 50 перечисленных выше API. Некоторые исправления очень просты и содержат не более нескольких инструкций, в то время как некоторые исправления очень сложны, например, CreateWindowEx. Мы не будем перечислять их все здесь, однако конечный эффект ясен — окна TeamViewer не отображаются для жертвы. Они молча существуют в системе и все.

Файл конфигурации

Конфигурация TeamSpy хранится в файле tvr.cfg. Он использует простой пользовательский алгоритм шифрования, который можно увидеть ниже. Он читает входной файл и использует пароль «TeamViewer». Алгоритм запускает два счетчика: cnt1 (0..количество байтов в tvr.cfg ) и cnt2 (0..длина пароля ). Берет байт из пароля, добавляет результат умножения cnt1*cnt2. Это делается для каждого символа пароля. Все эти результаты подвергаются операции XOR, создается один символ, и в конце цикла выполняется операция XOR с соответствующим байтом из файла конфигурации. Эти шаги повторяются для всех байтов в файле конфигурации.

Расшифрованный файл конфигурации можно увидеть ниже. Названия параметров в основном говорят сами за себя. Наиболее важными для нас являются пароль (зараженная машина имеет пароль «superpass») и server1, на котором эксфильтрован идентификатор зараженной машины.

Звонок домой

Связь между зараженной машиной и командным сервером устанавливается вскоре после начала процесса заражения. Регулярно отправляется следующий запрос. Названия большинства параметров можно легко определить.

id = TeamViewer ID, этот идентификатор нужен киберпреступникам, которого вместе с паролем достаточно для удаленного подключения к зараженному компьютеру

osv = версия ОС

osbd = версия сборки ОС

ossp = пакет обновлений

tvrv = версия TeamViewer

uname = имя пользователя

cname = имя компьютера

vpn = есть TeamViewer vpn

avr = антивирусное решение

Когда мы открываем сервер C&C в веб-браузере, мы видим следующую страницу входа:

Управление чатом

Зараженный компьютер управляется через TeamViewer. Киберпреступники могут подключаться к удаленному компьютеру (они знают идентификатор и пароль для TeamViewer) или отправлять команды через чат TeamViewer, чтобы делать на зараженной машине все, что им заблагорассудится. Общение через чат TeamViewer позволяет выполнять основные функции бэкдора: applist, wcmd, ver, os, vpn, регион, время, веб-камера, genid. Внутри кода TeamSpy эти команды сравниваются с их контрольными суммами crc32, поэтому очень легко могут возникнуть коллизии. Поскольку crc32(wcmd) = 07B182EB = crc32(aacvqdz), обе эти команды взаимозаменяемы.

Использование законной VPN TeamViewer шифрует трафик и делает его неотличимым от законного трафика TeamViewer. Как только машина заражена, преступники имеют полный доступ к компьютеру.Они могут красть и удалять конфиденциальные данные, загружать и запускать произвольные программы и т. д.

Злоупотребление легитимным приложением путем загрузки неопубликованных приложений — умный прием, поскольку не каждый пользователь проверяет легитимность всех библиотек DLL в одном каталоге. Проверка подписи основного исполняемого файла ничего подозрительного не обнаруживает и может дать жертве понять, что все в порядке. См. цифровую подпись основного файла update_w32.exe ниже. Этот файл не является вредоносным.

Важно помнить, что есть и другие классы вредоносных программ, которые злоупотребляют TeamViewer, а не только TeamSpy. Этот пост описывает только один из них. Однако этот принцип аналогичен другим классам вредоносных программ.

Воспользуйтесь нашими подробными руководствами пользователя, чтобы правильно начать работу с TeamViewer.

Как работает TeamViewer: полное руководство

TeamViewer — это быстрое и безопасное универсальное решение для удаленного доступа к компьютерам и сетям. Благодаря целому ряду мощных функций удаленного доступа, которые облегчают удаленное управление, встречи и обслуживание облачной службы поддержки, существует множество ресурсов, показывающих, как именно использовать всю мощь TeamViewer. Имея полезные руководства пользователя, документы по первому шагу и общие практические руководства, вы узнаете, как использовать TeamViewer в полной мере. Независимо от того, используете ли вы комплексное решение в качестве ИТ-отдела или поставщика управляемых услуг, в вашем распоряжении интуитивно понятные функции, такие как Wake-on-LAN, автоматический доступ и назначение билетов.

Первоначальная настройка TeamViewer не может быть проще: просто установите программное обеспечение, укажите, хотите ли вы использовать его в коммерческих или личных целях, создайте имя и пароль для своего компьютера и запишите их для дальнейшего использования. После завершения процесса установки вы попадете в основной интерфейс TeamViewer, который разделен на две вкладки: удаленное управление и собрание. Отсюда вы можете перейти к различным функциям, описанным ниже.

Как настроить удаленное управление TeamViewer

Чтобы начать работу с функциями удаленного управления TeamViewer, перейдите на вкладку «Удаленное управление» в главном интерфейсе. Здесь вы найдете свой TeamViewer ID и временный пароль, который вы можете изменить в любой момент. С помощью этой информации вы можете разрешить партнеру удаленное управление вашим компьютером.

Чтобы сделать это в обратном порядке и удаленно управлять другим компьютером, просто введите идентификатор компьютера-партнера и выберите один из различных режимов подключения, таких как удаленное управление, передача файлов или VPN. Кроме того, как только будет установлено одно или несколько удаленных подключений, каждый сеанс будет отображаться в строке заголовка окна удаленного управления. Для получения дополнительной информации о том, как установить соединение для удаленного управления, см.
руководство по удаленному управлению TeamViewer.

Руководство TeamViewer по совещанию

Другим разделом основного интерфейса TeamViewer является вторая вкладка с надписью "Собрание". Этот раздел разделен на две основные области: организация собраний и присоединение к собраниям. Чтобы начать собрание TeamViewer, выберите один из следующих вариантов: презентация, видеозвонок или телефонный звонок. Отсюда также можно планировать собрания и управлять ими.

При присоединении к собранию введите свое имя и идентификатор собрания, который вы получите от лица, пригласившего вас на собрание. Кроме того, вы можете получить сообщение с приглашением со ссылкой, которая автоматически подключит вас к собранию. Для некоторых совещаний может потребоваться пароль, в зависимости от предпочтений инициатора собрания. Дополнительную информацию о том, как перемещаться по вкладке «Собрания» в вашем интерфейсе, см. в руководстве TeamViewer для собраний.

TeamViewer: начало работы с полным набором функций

В интуитивно понятном и простом в использовании интерфейсе TeamViewer множество различных функций всегда под рукой. Раздел удаленного управления приборной панели — это доступ к различным параметрам управления устройствами, таким как Wake-On-LAN или автоматический доступ, для которых у нас есть подробные руководства пользователя. Известный своими параметрами кросс-совместимости, многие пользователи могут воспользоваться мобильным подключением и пошаговым руководством TeamViewer для доступа к компьютерам с мобильного устройства.

Область интерфейса "Собрания" предлагает вам возможность начинать и проводить мгновенные встречи с коллегами или клиентами и идеально подходит для совместного рассмотрения совместных проектов. Для совещаний, запланированных заранее, TeamViewer предоставляет функцию планирования, которая позволяет назначать совещания TeamViewer с различными участниками и назначать дату и время, которые лучше всего подходят вам — время или день запланированных совещаний можно изменить в любой момент.

Как использовать сервисный лагерь TeamViewer

TeamViewer servicecamp — это полностью интегрированное решение для службы поддержки, которое идеально подходит для ИТ-специалистов и поставщиков управляемых услуг. Облачная платформа позволяет вам обеспечивать управление обслуживанием клиентов наряду с удаленной технической поддержкой. Помимо автоматизации определенных задач, servicecamp позволяет добавлять сотрудников, создавать почтовые ящики, назначать заявки, а также создавать и сортировать темы. Использование многофункциональных возможностей TeamViewer и удобного управления услугами servicecamp означает более внимательное отношение к технической поддержке для ваших клиентов, более оптимизированные процессы для ваших сотрудников и более высокую общую производительность для вашего бизнеса. Объедините все это с TeamViewer Remote Management, нашим комплексным инструментом управления ИТ для долгосрочного и упреждающего подхода к ИТ-поддержке, и вы получите формулу успеха.

БЕРЛИН, 10 фев (Рейтер). Немецкая компания-разработчик программного обеспечения TeamViewer заявила в понедельник, что наблюдает дополнительный спрос на ее услуги подключения из-за вспышки коронавируса, поскольку прогнозирует, что выручка и основная прибыль вырастут примерно на треть в этом году.

TeamViewer предлагает услугу «в любое время и в любом месте», которая позволяет входить в систему и работать удаленно, и спрос на нее возрос в Китае, где коронавирус был впервые обнаружен и оказал наибольшее влияние.

«У нас значительно вырос спрос на варианты надомной работы», — заявил журналистам генеральный директор Оливер Стейл после того, как TeamViewer сообщил о сильных результатах за четвертый квартал и подтвердил прогноз на 2020 год, который он дал при размещении в сентябре.

Компания, использующая модель «фримиум», которая стремится превратить активных пользователей в платных подписчиков, тем не менее приостановила маркетинг в Китае из уважения к сложной ситуации для многих компаний и людей в Китае, добавил Стейл.

TeamViewer предлагает безопасный удаленный доступ, поддержку, инструменты удаленного управления и совместной работы и установлен более чем на 2 миллиардах устройств. В любой момент времени в сети находится до 45 миллионов человек.

Компания TeamViewer, котирующаяся в настоящее время во Франкфуртском фондовом индексе компаний со средней капитализацией и технологической компанией, планирует выручить в 2020 году от 430 млн до 440 млн евро (471 млн – 482 млн долларов США), что соответствует годовому росту на 34 %.

По прогнозам, основная прибыль до вычета процентов, налогов, износа и амортизации (EBITDA) будет расти такими же темпами и составит 240–250 млн евро, говорится в сообщении компании, базирующейся в городе Геппинген.

Сентябрьский листинг, в ходе которого TeamViewer был оценен в 5,25 млрд евро, добавил редкую технологическую компанию на рынок Франкфурта, насыщенный промышленными и автомобильными акциями.

Акции, которые активно торговались на открытии в понедельник, во время утренних торгов во Франкфурте стали отрицательными и упали на 5,5%. Они сохранили рост на 17 % с момента крупнейшего в Европе размещения акций в 2019 году.

TeamViewer, контролируемый частной инвестиционной компанией Permira, позиционируется инвесторами как игра на так называемом «мегатенденции» устойчивого развития, предлагая компаниям способ сократить воздействие на окружающую среду и сократить расходы на поездки.

Она ориентируется на корпоративных клиентов с более высокими расходами, чтобы стимулировать рост.

На конец 2019 года у компании было 698 клиентов с годовой стоимостью контракта более 10 000 евро, что на 67 % больше, чем годом ранее. Общее количество платных подписчиков выросло на 71% до 464 000.

Планы на 2020 год предполагают, что рост прибыли замедлится по сравнению с 2019 годом, когда счета выросли на 41%, а скорректированная EBITDA выросла на 51%.

Выплаты за четвертый квартал выросли на 34% до 100,6 млн евро, а скорректированная EBITDA подскочила на 46% до 62,6 млн евро. (1 доллар США = 0,9129 евро) (Дополнительная отчетность Рихама Алкусаа; редактирование Эдмунда Блэра и Кирстен Донован)

Предупреждение ФБР, отправленное во вторник, предупреждает компании об использовании устаревших систем Windows 7, неправильных паролей к учетным записям и программного обеспечения для совместного доступа к рабочему столу TeamViewer.

Каталин Чимпану работала корреспондентом ZDNet по безопасности с сентября 2018 г. по февраль 2021 г.

После инцидента в Олдсмаре, когда неизвестный злоумышленник получил доступ к сети станции водоочистки и изменил дозировку химикатов до опасного уровня, ФБР во вторник разослало предупреждение, привлекая внимание к трем проблемам безопасности, которые были видел в сети завода после взлома на прошлой неделе.

Предупреждение, называемое Уведомлением для частных компаний или ПИН-кодом ФБР, предупреждает об использовании устаревших систем Windows 7, неверных паролей и программного обеспечения для совместного использования рабочего стола TeamViewer, призывая частные компании, а также федеральные и государственные сети и политики доступа соответственно.

ред. бот

Инструмент GWX может исчезнуть, но все остальные инструменты обновления все еще работают, и конечным результатом является действительно действующая цифровая лицензия. Но эти предложения могут скоро закончиться.

TeamViewer считается отправной точкой

ПИН-код ФБР специально называет TeamViewer программным обеспечением для совместного использования рабочего стола, на которое следует обратить внимание после того, как приложение было подтверждено как точка входа злоумышленника в сеть водоочистной станции Oldsmar.

Согласно сообщению Reuters, официальные лица заявили, что в прошлую пятницу злоумышленник дважды подключался к компьютеру в сети станции водоочистки Oldsmar через TeamViewer.

Во втором случае злоумышленник активно завладел мышью оператора, перемещал ее по экрану и вносил изменения в уровни содержания гидроксида натрия (щелока), который добавлялся в питьевую воду.

Хотя оператор почти сразу отменил изменения, внесенные хакером, инцидент мгновенно стал предметом разногласий и дискуссий среди специалистов по безопасности.

Среди наиболее часто поднимаемых в онлайн-дискуссиях вопросов было использование приложения TeamViewer для доступа к ресурсам критически важной инфраструктуры США.

В отчете Motherboard, опубликованном во вторник, несколько известных экспертов по безопасности раскритиковали компании и сотрудников, которые часто используют программное обеспечение для удаленной работы, назвав его небезопасным и неподходящим для управления конфиденциальными ресурсами.

Хотя предупреждение ФБР о PIN-коде не имеет критического тона или позиции по отношению к TeamViewer, ФБР хотело бы, чтобы федеральные и частные организации обратили внимание на это приложение.

«Помимо законного использования, TeamViewer позволяет кибер-злоумышленникам осуществлять удаленный контроль над компьютерными системами и загружать файлы на компьютеры-жертвы, что делает его функционально схожим с троянами удаленного доступа (RAT)», — заявили в ФБР.

«Однако законное использование TeamViewer делает аномальную активность менее подозрительной для конечных пользователей и системных администраторов по сравнению с обычными RAT.

Предупреждение ФБР конкретно не рекомендует организациям удалять TeamViewer или любое другое программное обеспечение для совместного те, которые используются для доступа Windows RDP) защищены слабыми паролями.

ФБР предупреждает об использовании Windows 7. снова

Кроме того, предупреждение ФБР также предупреждает о продолжающемся использовании Windows 7, операционной системы, срок службы которой истек в прошлом году, 14 января 2020 г., о проблеме, о которой ФБР также предупреждало американские компании в прошлом году .

Эта часть предупреждения была включена, поскольку, согласно отчету правительства штата Массачусетс, водоочистная станция Oldsmar по-прежнему использует системы Windows 7 в своей сети.

ZDNet рекомендует

Хотя нет никаких доказательств того, что злоумышленники злоупотребляли ошибками, характерными для Windows 7, ФБР заявляет, что продолжать использовать старую операционную систему опасно, поскольку ОС не поддерживается и не получает обновлений безопасности, что в настоящее время делает многие системы уязвимыми. к атакам через недавно обнаруженные уязвимости.

Однако в отчете Cyberscoop, опубликованном сегодня, подчеркивается тот факт, что завод Oldsmar, наряду со многими другими водоочистными сооружениями в США, часто недофинансируется и не укомплектован персоналом.

Хотя ФБР предостерегает от использования Windows 7 по уважительным причинам, многие компании и федеральные агентства и агентства штатов США могут ничего не сделать, если высшее руководство не вложит серьезные финансовые средства в модернизацию ИТ-инфраструктуры. не ожидается в ближайшее время во многих местах.

В таких случаях ФБР рекомендует ряд основных передовых методов обеспечения безопасности в качестве промежуточного способа смягчения угроз, таких как:

  • Используйте многофакторную аутентификацию.
  • Используйте надежные пароли для защиты учетных данных протокола удаленного рабочего стола (RDP);
  • Убедитесь, что антивирус, спам-фильтры и брандмауэры обновлены, правильно настроены и безопасны;
  • Аудит сетевых конфигураций и изоляция компьютерных систем, которые нельзя обновить;
  • Аудит вашей сети на наличие систем, использующих RDP, закрытие неиспользуемых портов RDP, применение двухфакторной аутентификации везде, где это возможно, и регистрация попыток входа в систему RDP;
  • Журналы аудита для всех протоколов удаленного подключения;
  • Обучать пользователей выявлять попытки социальной инженерии и сообщать о них;
  • Выявлять и блокировать доступ пользователей, проявляющих необычную активность;
  • Обновляйте программное обеспечение.

Читайте также: