TeamViewer，遠程支持、遠程訪問、在線協作和會議，用于實現遠程支持、遠程訪問、遠程管理、家庭辦公及在線協作和會議功能的軟件。支持Windows、Mac、Linux、ChromeOS、iOS、Android、WindowsMobile和BlackBerry平臺。

　　不幸的是，惡意軟件TeamSpy也發現這個工具非常有利于用來進行惡意活動。惡意軟件TeamSpy是由遠程訪問工具TeamViewer和鍵盤記錄器等組件組成。攻擊者利用社會工程學誘騙受害者安裝TeamSpy，并通過DLL劫持技術進行隱藏，然后利用合法的遠程訪問工具TeamViewer執行未經授權的操作，從而從受害者的設備中竊取機密文檔和加密密鑰。

　　TeamSpy早在2013年就被發現了，當時匈牙利CrySyS實驗室的研究人員和卡巴斯基實驗室發布了有關其操作的白皮書。來自HeimdalSecurity的安全專家最近發現了TeamSpy出現了新的攻擊方式，該攻擊方式采用了一個有針對性的垃圾郵件活動，通過惡意程序來獲得目標計算機的完整控制權。

　　隱藏命令

　　在感染設備后，大多數惡意軟件會與命令和控制（C＆C）服務器進行通信，因為，C＆C服務器是發送惡意軟件執行命令的控制中心。C＆C服務器也是惡意軟件收集數據的地方，在和C＆C服務器進行通信時，惡意軟件的開發者通常會實現一個自定義協議，但這樣，殺毒軟件就可以很容易地發現它與其他流量的不同，從而進行阻止。

　　于是，為了使殺毒軟件更加難以檢測到惡意行為，一些惡意軟件的開發者便想到利用流行的遠程控制程序（如TeamViewer），而不是利用其VPN網絡，這樣就能起到更好地掩蓋其惡意軟件和C＆C服務器之間通信的作用。

　　TeamSpy如何進行感染

　　TeamSpy通過垃圾郵件傳播，旨在誘騙受害者打開附件。附件是一個帶有宏的Excel文件，打開附件后，將出現以下內容：

　　當攻擊目標啟用宏時，感染過程就會開始，這一切都會在后臺完全運行，因此受害者不會發現任何攻擊征兆。但如果讓安全人員來查看這些惡意宏，他們就可以看到經過混淆的字符串，這些經過修改的字符串通常會分割成一個或多個子串，這些子串最后又能被連接起來。最重要的信息，我在下圖已用紅色圈出來了，并且是一個鏈接，攻擊者可以通過這個鏈接下載攻擊程序以及稍后使用的密碼：

　　該鏈接disk.karelia.pro是用于上傳和共享文件的合法的俄羅斯服務，雖然下載的附件是PNG，但它實際上是一個EXE文件，更具體地說，它是一個受密碼保護的Inno安裝程序：

　　在innounp實用程序的幫助下，我可以輕松地從惡意軟件使用的InnoSetup安裝程序列出或提取文件。如下圖列所示，大多數文件都是常規的經過數字簽名的TeamViewer二進制文件，但兩個文件除外——msimg32.dll和tvr.cfg。Tvr.cfg是TeamSpy的配置文件，稍后我會介紹，而msimg32.dll則是惡意軟件的一個組成部分。Msimg32.dll是一個DLL庫，它是Windows操作系統的一部分。然而TeamSpy會濫用DLL搜索順序，以便將當前目錄中的假msimg32.dll加載到進程中，而不是從Windows/System32目錄中刪除原始msimg32.dll。惡意軟件本身就位于假的msimg32.dll庫中：

　　TeamSpy的隱藏過程

　　通常當你安裝TeamViewer時，會看到一個帶有ID和密碼的GUI窗口，但對于攻擊者來說，他們需要知道是否要遠程連接到攻擊目標的計算機：

　　如果TeamSpy成功感染了用戶，則不會顯示任何內容，因為所有操作都是在后臺運行的，因此攻擊目標不會注意到安裝了TeamViewer。這是通過掛接許多API函數并改變其行為來實現的。TeamSpy掛接了以下近50種不同的API：

　　其中有一些掛接會阻止應用程序訪問某些特定資源，例如如果RegCreateKey或RegOpenKey嘗試訪問SoftwareTeamViewer注冊表項，則會返回錯誤代碼ERROR_BADKEY：

　　掛接GetCommandLine使得TeamViewer認為它是以預定義的密碼開始的，而不是隨機生成的密碼，TeamViewer用戶通?？梢酝ㄟ^添加命令行參數將此密碼設置為任意值：

　　掛接SetWindowLayeredAttributes將TeamViewer窗口的不透明度設置為0（指令PUSH0），根據MSDN文檔，該視圖的含義如下：“當bAlpha為0時，窗口是完全透明的。當bAlpha為255時，窗口是不透明的：

　　掛鉤CreateDialogParam會阻止一些惡意軟件創建不需要的對話框，用戶可以在文件TeamViewer_Resource_en.dll中查找這些對話框，它們以10075的數字引用，如下圖所示：

　　在ShowWindow的情況下，它定義了它自己的nCmdShow參數范圍4d2h-10e1h。如果其他值超過這個范圍，則不會發生任何進程：

　　其中最有趣的掛鉤便是CreateWindowExAPI。通過一系列類名檢查，我發現它屬于TeamViewer聊天窗口的窗口和其他窗口控件。在WinSpy++等工具的幫助下，即使特定進程的所有窗口被隱藏，我們還是可以看到這些窗口的。從下圖可以看出，有一個ControlWin窗口，它有幾個TVWidgets。TvWidget是一個TV常用效果控件,包括焦點、邊框處理等，它有兩個ATL:????????文本編輯，一個用于聊天消息歷史，一個用于新的聊天消息，還有一個組合框，具有聊天參與者的下拉列表和按鈕發送?！跋?1”代表聊天中收到的消息，“消息02”代表在點擊“發送”按鈕后發送的消息。聊天窗口無法正常顯示，因為惡意軟件在后臺運行，但是可以修復惡意軟件，從而不會發生隱藏窗口：

　　下面的代碼片段顯示了惡意軟件是如何獲取這些窗口控件的句柄的，GetWindowLong，CallWindowProc，SetWindowLong與nIndex=GWL_PROC用自定義窗口過程替換了聊天歷史文本編輯窗口過程的舊地址：

　　自定義窗口過程會監聽傳入消息，并且基于窗口消息id，它會發送新消息或等待來自C＆C服務器的回復，直到EM_SETCHARFORMAT消息的出現。

　　下圖顯示了惡意軟件是如何發送新消息，惡意軟件首先將重點放在使用WM_SETFOCUS的新消息文本編輯中，然后通過WM_SETTEXT設置新消息編輯文本，最后通過發送BM_CLICK點擊“發送”按鈕：

　　上述50個API中的大多數都使用了類似的修改，其中有一些補丁很簡單，只有幾個指令，單還有一些補丁是非常復雜的，如CreateWindowEx。我不會在這里一一列舉，但是最終的結果表明，TeamViewer的窗口是絕不會讓受害者看見的，它只存在與系統的后臺。

　　TeamSpy的配置文件

　　TeamSpy的配置存儲在tvr.cfg文件中，它使用簡單的自定義加密算法，可以在下圖中看到。它讀取輸入文件并使用密碼“TeamViewer”，該算法運行兩個計數器，cnt1（0.v.tvr.cfg中的字節數）和cnt2（0..length的密碼）。它需要一個來自密碼的字節，加上乘法cnt1*cnt2的結果。這些密碼會通過異或，產生一個字符，并且在循環結束時，它與來自配置文件的相應字節進行異或，配置文件中的所有字節都重復這些步驟：

　　解密的配置文件可以在下圖中看到，參數的名稱大多是自我說明的。對我來說最重要的是密碼（受感染的機器具有密碼“superpass”）和server1，其中感染的設備ID已過濾了：

　　受感染的設備和C＆C服務器之間的通信是在感染過程開始后才建立的，之后便會定期發送以下請求，大多數參數的名稱可以清楚地推導出來：

　　id=TeamViewerID，網絡犯罪分子需要這個id，它與密碼一起就足以遠程連接到受感染的計算機

　　tout=timeout

　　idl=空閑時間

　　osbt=32bit/64bit

　　osv=OS版本

　　osbd=OS構建版本

　　ossp=servicepack

　　tvrv=TeamViewer版本

　　uname=用戶名

　　cname=計算機名稱

　　vpn=有TeamViewervpn

　　avr=防病毒解決方案

　　當我在網絡瀏覽器中打開C＆C服務器時，就可以看到登錄頁面。

　　通信插件

　　受感染的計算機是通過TeamViewer控制的，攻擊者可以連接到遠程計算機，因為他們已經知道了TeamViewer的ID和密碼，或者他們可以通過TeamViewer聊天發送命令，這樣就可以在受感染的機器上做任何事情。通過TeamViewer聊天的通信可以實現基本的后門功能：applist，wcmd，ver，os，vpn，locale，time，webcam，genid。在TeamSpy代碼中，這些命令與它們的crc32校驗和進行比較，所以很容易發生沖突。因為crc32（wcmd）=07B182EB=crc32（aacvqdz），這兩個命令都是可互換的：

　　攻擊者使用TeamViewer的合法VPN加密流量，使其與合法的TeamViewer流量無法區分。一旦設備受到感染，他們就可以完全訪問計算機。他們可以竊取和滲透敏感數據，下載和執行任意程序等等。

　　不得不說，濫用合法應用程序是一個聰明的技術，因為并不是每個用戶都會檢查所有DLL庫在同一目錄的合法性。檢查主可執行文件的簽名沒有顯示任何可疑的內容，可能讓受害者認為一切都是正常的。詳細情況，請參考下面的main_w32.exe文件的數字簽名，這個文件就不是惡意的。

　　安全專家發現，目前除了TeamSpy外，已有越來越多的惡意軟件類開始濫用TeamViewer?！　?/p> 人妻精品一区二区三区_好紧好湿好硬国产在线视频_亚洲精品无码mv在线观看_国内激情精品久久久

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇