Descobrir IP e MAC de invasor Teamviewer

[Thiago RR]

Olá pessoal, onde trabalho teve um PC que sofreu um ataque e fizeram um estrago na conta bancária da empresa. Já examinamos o PC e tudo indica que foi via Temviewer  mesmo, pois no dia seguinte esse programa estava iniciando junto com o windows onde o mouse estava se movendo sem interação do usuário do micro. Após eliminar o programa e alguns sofwares mal intencionados instalados pelo invasor, acessei os arquivos de log do teamviewer para procurar o IP e/ou MAC do invasor, mas nesse arquivo não consta essa informação.

 

Alguém sabe como obter esse endereço de IP e/ou MAC? O Windows quando recebe um acesso remoto registra em algum lugar essa informação? Ou então algum de vocês conhece algum software capaz de fazer uma varredura e fornecer essa informação?

 

Todo ajuda é muito bem vinda meus amigos.  

[LuisOPsum]

Olá!

De qualquer forma, se o seu computador está sendo invadido, faça imediatamente a troca da senha do Administrador do computador, que o programa Teamviewer, não tem acesso à novos registros,  sem o concedimento do proprietário. Agora caso tenha algum programa espião, ai é outra história, já que ele pode capturar as teclas do teclado e enviar direto na conta de e-mail do Cracker.

 

Vou antes, deixar algumas medida protetivas que você deve tomar:

1- Você deve levar esse computador em uma bancada local deixado OFFLINE, tirando dos cabos e Wífi, e logo, fazer uma analise profunda em busca de qualquer rastro, para tomar medidas preventiva , mas ates, fique online pra baixar o Anti-Vírus e Anti-Malwares:

1. Restaure seu computador pra uma Data de aproximadamente 1 Mês trás, por ai. Faça isso também nas máquinas importantes ou em todas as máquinas de sua Empresa.
2. Instale um Anti-Vírus eficiente e segura tipo " Kaspersky Security Cloud – Free ".
3. Instale um Anti-Malware eficiente e seguro tipo " Malwarebytes - Gratuito". 
4. Altere a senha do Wífi, e também, dos Roteadores, eliminado os Pass: Admin - Admin.
5. Em " Propriedade do sistema ", Marque a caixa:" Não permitir  conexões remota com este computador".

Faça sempre auditórias de medidas protetivas pros seus funcionários, pra ficarem atentos a qualquer forma de invasão nos computadores, e se caso aconteça de um computador ser invadido, deixe o computador OFFLINE e imediatamente, leve pro setor de TI, fazendo as as 3 ANALISES acima.

 

 - Agora respondendo aos pontos críticos e específicos das perguntas:

 

• Caso a invasão tenha sido pelo " Temviewer ", o endereço IP do invasor, pode está lá no servidor do mesmo aos montantes de IPs, e lá no site do Temviewer diz:

"  Endereços IP de destino

O software TeamViewer faz conexões a nossos servidores principais localizados pelo mundo. Esses servidores usam um número de faixas diferentes de endereços IP, que também mudam frequentemente. Sendo assim, não conseguimos fornecer uma lista de IPs de nossos servidores. Contudo, todos os nossos endereços IP têm registros PTR que resolvem para *.teamviewer.com. Você pode usar isso para restringir endereços IP de destino que você permite através de seu firewall ou servidor proxy.

De um ponto de vista de segurança, isso não deveria realmente ser necessário – o TeamViewer somente inicia conexões de dados de saída através de um firewall, então é suficiente simplesmente bloquear todas as conexões de entrada em seu firewall e somente permitir conexões de saída na porta 5938, independente do endereço IP de destino."

 

• Lembrando claro que os programas Temviewer usam: "

O tráfego do TeamViewer é protegido usando a troca de chaves pública/privada RSA e criptografia de sessão AES (256 bits). Essa tecnologia é usada de uma forma comparada para https/SSL e é considerada completamente segura pelos padrões atuais.

 

• Sobre os registros e Logs do TeamViewer:

"

Relatórios abrangentes

 O registro interno de relatórios captura todas as atividades de sessão remota e ações do console de gerenciamento: quem fez o quê, quando e por quanto tempo para cada conexão de entrada e saída. Crítico para fins de segurança, esses registros de auditoria só podem ser visualizados por administradores de TI designados com permissões de usuário apropriadas.

• Optar/Desativar, decidir se o registro de atividades para sessões remotas e console de gerenciamento é necessário ou não
• Atribuir permissões de usuário específicas autorizando o acesso para visualizar relatórios
• Manter a responsabilidade e fornecer faturamento preciso para serviços
• Acompanhe a satisfação do cliente com os comentários da sessão e os formulários de feedback do cliente para melhorar os serviços
• Reduza os custos eliminando a necessidade de ferramentas de registro de terceiros"

 

Sabendo disso, só o Administrador de TI pode entender os Logs sem excluir ou eliminar conforme a sua politica de segurança, criados justamente pra proteger sua rede. Traduzindo, o profissional de TI guarda esse registro do programa " Temviewer ", pra saber tudo sobre que acontece nas máquina. Se ele apagar ou excluir, perdeu tudo!

 

Sobre outras perguntas: 

•  como obter esse endereço de IP e/ou MAC?

1. Se for um sistema operacional voltado pra usuário domestico ou empresario, não sendo um sistema de Servidor, infelizmente sem um programa de Monitoramento das máquinas  clientes tipo: Zabbix, Cacti e outros caso queira saber AQUI. Não é possível identificar rastro na máquina cliente, porque não tem ferramentas de Monitoramento. Como o invasor não acessou por uma rede local, então não tem como o IP e Mac está registrado no Roteador.

 

1. Umas das formas de se obter informações do intruso usando a engenharia social, se o invasor estiver online, é mandando um link que você criou por um site que captura á geo-localização, enviando pra ele. Dessa forma, captura e registra a Geó-localização podendo capturar informações  Geográfica do intruso pelo IP e MAC Online. Exemplo: Vídeos do Youtube.

 

O ideal é  ter sempre ferramentas de monitoramento citados acima, e gravar todos os registos e obter todas informações do intruso.

 

 Se por acaso as invasões repetir mesmo após ter feito tudo lá acima, eu recomendo que procure uma equipe de Segurança em Rede, pra fazer analises sobre todos os pontos de sua Empresa, e listarem em relatórios pra você. Dessa forma você toma medidas protetivas criticas, impedindo que tudo se repita, e você fique sem resposta .

 

Qualquer dúvida, mande respostas.

Espero ter ajudado.