專家帶路：遠端辦公網路安全3大策略

自新冠肺炎(COVID-19)疫情以來，遠端工作模式已是許多上班族的常態。但礙於時間緊迫或建置成本等因素，IT人員在建置遠端工作環境的過程中，有可能因為疏忽，而產生網路安全的漏洞。這些漏洞若沒有即時發現及處理，很有可能被有心人士或駭客利用，公司內部的重要資料與機密資訊，將可能會暴露在風險當中。 

        近期案例中，發現某公司防火牆的Log訊息中，一台虛擬機定時對內部網路進行端口掃描，追查發現為開發人員為了方便在外出差遠端工作，在公司內部建立虛擬機，並使用TeamViewer遠端軟體，方便存取公司內部系統服務。我們對該虛擬機進行足跡分析後，發現疑似與官方公布漏洞CVE-2020-13699相關。該漏洞主要是駭客利用TeamViewer未適當處理URI的使用限制，駭客可以在URI值中嵌入惡意資料，誘使受害者點擊後，連回惡意Web網站並自動開啟遠端電腦的共享SMB服務。在開啟SMB服務後，Windows 會開始執行NTLM身分驗證請求獲取相關訊息，駭客則由遠端利用工具伺機竊取SMB分享內容，有機會取得受害者的系統登入密碼，並進行暴力破解。 

該漏洞是屬於Unquoted URI handler，影響範圍URI handlers teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1, and tvvpn1。

針對上述案例，NEITHNET專家提出以下三大防範策略，一旦威脅入侵，能即時中斷駭客Kill Chain，在攻擊初期即可阻斷，防止駭客拿取控制權、竊取帳戶密碼，協助企業建立完整的遠端辦公網路安全。

• 策略1：內網異常行為辨識 

NEITHViewer主要針對內部網路異常行為辨識，不僅可以偵測內網掃描行為，更可以提供弱點攻擊偵測能力，當駭客進行TeamViewer弱點攻擊時，NEITHViewer則會觸發 EXPLOIT TeamViewer .iFrame Observed (CVE-2020-13699)事件，並能同時告警管理人員，即時處理惡意連線行為。

• 策略2：惡意網址檢測

以上述案例，當User無意點擊含有駭客設置的惡意Web網站時，透過NEITHDNS的DNS過濾惡意網址檢測功能，可以進行即時阻擋，防止User連至惡意Web網站後，在不知不覺中已被駭客入侵，被當成駭客入侵的跳板，甚至洩漏公司機密。

• 策略3：端點安全防護 

運用NEITHSeeker MDR系統，找出端點內可能被安裝未更新且已有弱點的遠端控制軟體，如TeamViewer、Webex等，提醒管理者需要針對該軟體進行更新。此外，藉由NEITHSeeker提供即時情資比對，可即時告警該台電腦正在連線惡意Web網站，並由專家即時告警並且關閉該程式，避免端點被駭客侵入造成機密資料外洩。

【關於騰曜網路科技】

NEITHNET騰曜網路科技專精於超前洞察隱匿的網路威脅，由一群熟稔網路攻防語言的熱血資安專家所組成，並設有世界級資安戰略實驗室（NEITHCyber Security Lab），結合專業設備與資深人才，得以萃取出最先進且高品質的網路威脅情資。我們的服務範疇以威脅情資為核心，延伸至MDR即時監控、網路流量分析、資安健檢、各式資安事件處理與鑑識服務等，協助客戶防範無所不在的網路威脅。