원격 제어에 이용되는 팀뷰어 프로토콜 접속 시 탐지합니다.

개요

• 중요도: 중
• 유형: 실시간 탐지
• 로그 스키마: 세션
• 대상 수집모델
  • Palo Alto Networks NGFW (Syslog)

쿼리

팔로알토 네트웍스 차세대 방화벽 수집 모델에 대해 아래 스트림 쿼리를 적용하여 실시간 탐지를 수행합니다. 팔로알토 네트웍스 방화벽은 L7 프로토콜을 식별하므로 포트 번호에 관계없이 팀뷰어 접속을 정확하게 식별할 수 있습니다.

| search app == "teamviewer*"

위협 분석

• 공격자는 팀뷰어를 이용하여 외부에서 내부 시스템을 원격 제어할 수 있습니다.

오탐 유형

• 사용자의 정상적인 팀뷰어 접속도 탐지하므로, 원격 제어가 허용된 호스트에 대해서는 탐지 예외 조건을 추가하여 조정합니다.
  • 예시: 기술지원팀의 원격 지원

MITRE ATT&CK

• 전술
  • Command and Control
• 기법
  • 이름: Remote Access Software
  • ID: T1219
  • 참조 URL: https://attack.mitre.org/techniques/T1219/