Блокировка TeamViewer, AnyDesk и AmmyAdmin
AmmyyAdmin мало того, что далеко не так хорош как TeamViewer, так ещё и является угрозой сам по себе, т.к. некоторое время с официального сайта распространялась заражённая версия клиента:
https://www.comss.ru/page.php?id=3377
Дошло до того, что даже браузеры не дают скачать исполняемый файл, о чём разработчики предупреждают прямо на сайте:
Итак, блокируем TeamViewer.
Для установки соединений он использует следующие домены:
master.teamviewer.com
master2.teamviewer.com
master3.teamviewer.com
master4.teamviewer.com
master5.teamviewer.com
master6.teamviewer.com
master7.teamviewer.com
master8.teamviewer.com
master9.teamviewer.com
master10.teamviewer.com
master11.teamviewer.com
master12.teamviewer.com
master13.teamviewer.com
master14.teamviewer.com
master15.teamviewer.com
master16.teamviewer.com
Заблокировав их, мы увидим, что TeamViewer потеряет работоспособность.
С AmmyyAdmin всё примерно так же. Нужно заблокировать домен rl.ammyyy.com плюс видимо ещё стоит заблокировать эти сети: 95.211.0.0/16 и 88.198.6.0/24. Нужно быть осторожным, т.к. в этих сетях могут жить не относящиеся к Ammyy сайты.
Обновление 2020.06.26: блокировка вышеуказанного списка больше не обеспечивает защиту, т.к. теперь TeamViewer использует множество других адресов. Чтобы заблокировать полностью, нужно на DNS сервере блокировать адреса по регулярному выражению:
Для MikroTik устройств, которые являются DNS-серверами в своей сети, если хочется разрешить использование на основании белого списка, подойдёт следующее правило для ip firewall filter:
Таким образом для списка адресов REMOTE_ALLOWED разрешено разрешение DNS имён, а для всех остальных запрещено. Да, это решение некрасивое, но мы не используем Layer7 и фильтруем только внутренний DNS траффик, которого не так уж и много, поэтому сильно влиять на производительность и не должно.
AnyDesk блокируется аналогичным образом через regexp или фаервол:
Заметки системного администратора Windows Server
Поиск по этому блогу
Блокируем TeamViewer, Ammyy, AnyDesk и пр.
Приветствую, коллеги! В разных организациях принято закрывать внутреннюю сеть, ограждая ее от промышленного шпионажа и других угроз, связанных с работой собственных сотрудников. Такие сервисы удаленного подключения, как TeamViewer, Ammyy admin, AnyDesk и др. являются огромной «дырой» в безопасности любой организации. Как ее «немного прикрыть» мы рассмотрим в данной статье, на примере работы с роутером MikroTik.
Итак, если на пальцах, то нам надо поставить маркеры на определенные слова и словосочетания, которые будут помечать трафик (любой, не только из браузера) и делать с ним все, что нам захочется: хоть блокировать, хоть перенаправлять, хоть пустить в пешее кругосветное путешествие через всю нашу сеть. Голь на выдумки хитра. Но здесь я рассмотрю только вариант с блокировкой.
Здесь мы создаем регулярки для определения того, что будем блочить. Это могут быть совершенно разные сайты: хоть социалки, хоть видео-хостинги, радио или просто вам сайт АвтоВАЗа, например, не хочется видеть. Забиваем регулярные выражения в следующем виде.
В трех этих вкладках при создании нового мангла, нужно указать: внутренний адрес ус-ва (если пусто, то все), указать как L7 лист использовать для маркировки трафика от данного устройства, указать как помечать трафик, который удовлетворяем уже 2 нашим условиям: таблицы регуляров BlockList и внутреннему адресу ус-ва. Имя Connection mark может быть любым. Готово. Далее сама блокировка.
Как видите, на данной машине перестали открываться сайты, в имени которых встречаются слова, с которых мы начали данную статью.
Окно программы AnyDesk тоже не может связаться с сервером, чтобы получить ID для удаленного подключения.
Anydesk – мошенничество у вас на глазах.
В последнее время мы фиксируем рост жалоб на мошенничество совершенное с помощью программы Anydesk. В этой статье мы расскажем, что это за программа и для чего анидеск нужен на самом деле.
Что такое Anydesk?
Anydesk является совершенно легальной и свободно распространяемой программой предназначенной для удаленного доступа к компьютеру с помощью интернета. Программа отличается от других множеством положительных характеристик, таких как кроссплатформенность, бесплатность, простота интерфейса и управления. Энидеск не требует никакой настройки и может использоваться сразу после скачивания и установки.
То есть Anydesk разрабатывалась с целью создать удобный инструмент, с помощью которого технические специалисты, системные администраторы и прочие специалисты могли бы получать удаленный доступ к компьютерам своих клиентов.
Как работает программа Anydesk?
Прежде всего, вы скачиваете программу с официального сайта https://anydesk.com/ru/downloads и устанавливаете себе на компьютер. То есть без вашего участия никто к вашему устройству доступ не получит. Далее вы должны сообщить желающему получить доступ к вашему компьютеру свой номер в анидеск, и все. После соединения пользователь Anydesk, которому вы дали подсоединиться получает доступ к вашему компьютеру и может им управлять.
Очень важно понимать, что программа Anydesk дает полный удаленный доступ к устройству, например вашему компьютеру. То есть тот, кто к вам подключился, может сделать все тоже самое, что и вы. Двигать мышкой, открывать файлы, устанавливать программы. А еще, например, без проблем зайти в ваш онлайн банк и снять оттуда все деньги – полный доступ.
Как воруют деньги с помощью программы Anydesk?
Совершенно не удивительно, что подобная программа стала активно использоваться мошенниками для доступа к компьютерам своих жертв. И брокеры-мошенники не исключение. Чаще всего используются следующие схемы:
Манипуляции на торговой платформе. Мошенники различными способами манипулирует торговой платформой с выгодой для себя. Например открывают убыточные сделки с компьютера неопытного «трейдера»
Съем денег из онлайн банка. Мошенники под разными предлогами получают доступ, а потом просто заходят в онлайн банк и переводят с него деньги, а иногда даже берут кредиты на глазах у человека, который ничего в этом не понимает и не знает, как это остановить.
Обман после обмана. Вас находит совершенно неизвестный вам ранее «благодетель» — юрист, сотрудник финансового регулятора, хакер и прочие сомнительные помощники, которые так же являются мошенниками. Далее вас начинают убеждать в том, что ваши деньги уже нашлись и их нужно зачислить к вам на счет, а для этого нужно подключиться к вашему компьютеру и зайти в онлайн банк. Вариации легенды могут меняться, но суть остается примерно такой же. И итоге деньги так же списываются с вашего онлайн банка. Не верьте и запомните простое правило НИКОМУ НЕ ПОКАЗЫВАЙТЕ СВОЙ ОНЛАЙН БАНК и не давайте доступа к компьютеру.
Как удалить Anydesk?
Как защититься от мошенников?
Самый надежный способ это не ставить на компьютер подобные программы без понимания их назначения, а так же не вестись на сомнительные предложения заработать денег.
Так же никогда не действуйте в спешке, банкам и прочим организациям, которыми любят представляться мошенники до вас нет никакого дела, поэтому никто никогда не будет вам звонить и подгонять вас что то сделать. И уже тем более никто не будет просить у вас доступ к вашему компьютеру.
Анидеск отзывы
В интернете появилось достаточно много отзывово о том как с помощью программы Анидеск различные мошенники воруют деньги. Вот некоторые из них:
Стали жертвой обмана? Потеряли деньги? Узнайте, как вернуть!
Мошенники звонят с московских телефонов и просят для компенсации материальных потерь в Инете скачать и установить пр. анидеск тел. 495-968-6058, 495-792-6196. Будьте бдительны!
Здравствуйте! Я прочитала отзывы о мошенниках брокерах delloy treid и Mylticapital, и как они обманывают через anydesk. Вот на их удочку я и попала. На delloy treid я перевела 52000 рублей. Когда я заявила о своем желании вывести деньги они обманом вытянул из меня ещё 140 тысяч рублей. И средства так и не вернули. А в конце января позвонил так называемый представитель фонда компенсации инвесторов и обманом оформил на моё имя 2 кредита в Сбербанке на общую сумму 552000 рублей; которые были переведены на сайт mylticapital. Все это было сделано якобы для того чтобы вывести мои средства с сайта dellov.tr. Деньги переводили с карты Мир и виртуальной карты Виза Сбербанка. В каком состоянии счёт на multicapital я не знаю и как вернуть мои деньги тоже.
меня тоже обманули суки
Спасибо вам! За ваш комментарий! Благодаря вам и другим обманутым! Я не попала на уловки мошенников! ОГРОМНОЕ вам спасибо,!
меня тоже обманули на 200000т руб. обманом заставили взять кредит и денюшки все исчезли.
Там есть пароль из 9-ти цифр, может его сменить и тогда они не попадут?
Скачайте программу Revo Uninstaller.
Удаляет полностью и даже хвосты в реестре.
Если по глупости попал на мошенников, как удалить их что бы они не имели доступа вмой телефон или ноутбук.
Меня вынудили взять кредит на 255 тыс теперь блин буду 3 года платить
Мне позвонил менеджер скомпании FX coins и предложил на бирже торговать,чтобы вернуть потери,которые были, когда я вложила деньги в ПТБ Я внесла деньги через ВТБ банк 50 евро. Сказали, что с хорошим брокером их можно вернуть через 3-4 месяца.
Со мной связался брокер Дмитрий Абрамов. мне подключили на компьютер систему Ани Деск иначали торговать. Но 50 евро,это оказывается была сумма
только,чтобы брокер начал со мною начал общаться.А торговлю нужно начинать 1000 евро и17.05 я через банк внесла деньги.
потом он сказал, что для большего успеха нужно чтобы было на счету у2500 евро.Я положила на карточку все деньги что были. Он две недели
выходил на связь,а потом он сказал, что на бирже произошёвбвал и срочно нужно внести еще 2000 евро, чтобы выравнять счет и вывести деньги
У меня вносить было нечего и он сказал, что мой счет обнулился и на этом всё закончилось.
Анализ возможности блокировки приложения для удаленного управления компьютером по сети, на примере AnyDesk
Категории
Свежие записи
Наши услуги
Когда в один прекрасный день начальник поднимает вопрос: «Почему у некоторых есть удаленный доступ к раб.компьютеру, без получения дополнительных разрешений на использование?»,
возникает задача «прикрыть» лазейку.
Приложений по удаленному управлению по сети предостаточно: Сhrome remote desktop, AmmyAdmin, LiteManager, TeamViewer, Anyplace Control и др. Если у «Сhrome remote desktop» есть официальный мануал по борьбе с наличием доступа к сервису, у TeamViewer есть лицензионные ограничения по времени либо запросам из сети и пользователи «скрипя зубами» так или иначе «светятся» у админов, то любимчик многих для личного пользования — AnyDesk пока требует особого внимания, тем более если начальник сказал «Нельзя!».
Если Вы знаете что такое блокировка сетевого пакета по его содержимому и Вас она устраивает, то остальной материал
не предназначен для Вас.
Пробуя пойти от обратного, на самом сайте говорится о том, что должно быть разрешено для работы программы, соответственно была заблокирована DNS запись *.net.anydesk.com. Но AnyDesk не прост, блокировка доменного имени ему нипочем.
Когда-то у меня была решена задача по блокировке «Anyplace Control» который попадал к нам с каким-то сомнительным ПО и решена она была блокировкий всего нескольких IP (я подстраховывал антивирус). Задача же с AnyDesk, после того как я вручную собрал больше десятка IP адресов, подзадорила уйти от рутинного ручного труда.
Также было обнаружено что в «C:ProgramDataAnyDesk» есть ряд файлов с настройками и т.п., а в файл ad_svc.trace собираются события о подключениях и неудачах.
Как уже было сказано блокировка *.anydesk.com не дала никаких результатов в работе программы, было решено поанализировать поведение программы в стрессовых ситуациях. TCPView от Sysinternals в руки и вперед!
1.1. Видно что «висит» несколько интересующих нас процессов, и лишь тот который связывается с адресом извне нам интересен. Порты к которым подключается перебираются, из того что я видел это: 80, 443, 6568. 🙂 80 и 443 нам точно блокировать нельзя.
1.2. После блокировки адреса через роутер, спокойно выбирается другой адрес.
1.3. Консоль наше ВСЁ! Определяем PID и тут мне немного подфартило, что AnyDesk был установлен сервисом, соответсвенно искомый PID единственный.
1.4. Определяем по PID процесса IP адрес сервера сервисов.
Так как программа для выявления IP адресов вероятно будет работать только на моем ПК, у меня нет никаких ограничений в удобстве и лени поэтому C#.
2.1. Все методы по выявлению искомого IP адреса уже известны осталось реализовать.
Аналогично находим сервис который установил соединение, приведу только основную строку
Результатом которой будет:
Из строки аналогично перыдущему шагу извлекаем 3й столбец, и убираем все что после «:». Как результат имеем наш искомый IP.
2.2. Блокировка IP в Windows. Если в Linux есть Blackhole и iptables, то метод блокировки IP адреса в одну строку, без использования брандмауэра, в Windows оказался непривычним,
но уж какие инструменты были…
Ключевой параметр «if 1» посылаем маршрут на Loopback (Отобразить доступные интерфейсы можно выполнив route print ). И ВАЖНО! Теперь программу требуется запускать с правами администратора, поскольку изменение маршрута требует повышения прав.
2.3. Отображение и сохранение выявленых IP адресов задача тривиальная и пояснения не требует. Если подумать, то можно обрабатывать и файл ad_svc.trace самого AnyDesk, но об этом я сразу не подумал + возможно на него стоит ограничение.
2.4. Странное неодинаковое поведение программы заключается в том, что при «taskkill» процесса службы в Windows 10 она перезапускается автоматически, в Windows 8 завершается, оставляя только процесс консоли и без переподключения, в общем нелогично и это неточно.
Удаление подключившегося к серверу процесса, позволяет «форсировать» переподключение на следующий адрес. Реализуется аналогично предыдущим командам, поэтому привожу только:
Дополнительно запускаем программу AnyDesk.
2.5. Проверять состояние AnyDesk будем 1 раз в минуту (или чаще?), и если она подключилась т.е. соединение ESTABLISHED — этот IP блокировать, и опять все заново — ждать пока подключится, блокировать и ждать.
Был «набросан» код, для визуализации процесса решено «+» указывать найденный и блокированный IP, а «.» — повтор проверки без успешного сосединения со стороны AnyDesk.
Программа работала на нескольких компьютерах с разными Windows ОС, с версиями AnyDesk 5 и 6. За 500 итераций собиралось около 80 адресов. За 2500 — 87 и так далее…
Со временем количество блокируемых IP дошло до 100+.
Ссылка на финальный текстовый файл с адресами: раз и два
Дело сделано! Пул IP адресов через скрипт добавлен в правила основного роутера и AnyDesk просто не может создать внешнее соединение.
Есть странный момент, по первоначальным логам видно что в передаче информации участвует адрес boot-01.net.anydesk.com. Мы конечно заблокировали все хосты *.net.anydesk.com общим правилом, но странность не в этом. Каждый раз при обычном пинге с разных компьютеров это доменное имя дает разный IP. Проверка в Linux:
как и DNSLookup дают только один IP адрес, но этот адрес вариативен. При анализе соединенией TCPView нам возвращаются PTR записи IP адресов типа relay-*.net.anydesk.com.
Теоретически: раз пинг иногда проходит на неизвестный незаблокированный хост boot-01.net.anydesk.com мы можем найти эти ip и заблокировать, эту реализацию сделать обычным скриптом под ОС Linux, тут как раз устанавливать AnyDesk не нужно. Анализ показал что эти IP часто «пересекаются» с найденными из нашего списка. Возможно это как раз этот хост, к которому и подключается программа до того, как начинает «перебирать» известные IP. Вероятно я позже дополню статью 2й частью поисков хостов, хотя на данный момент сама программа внутри сети не устанавливает внешнее соединение вообще.
Надеюсь ничего противоправного Вы не увидели в вышеизложенном, а создатели AnyDesk отнесутся к моим действиям по-спортивному.
Добавить комментарий Отменить ответ
Для отправки комментария вам необходимо авторизоваться.
Анализ возможности блокировки приложения для удаленного управления компьютером по сети, на примере AnyDesk
Когда в один прекрасный день начальник поднимает вопрос: «Почему у некоторых есть удаленный доступ к раб.компьютеру, без получения дополнительных разрешений на использование?»,
возникает задача «прикрыть» лазейку.
| Если Вы знаете что такое блокировка сетевого пакета по его содержимому и Вас она устраивает, то остальной материал не предназначен для Вас. |
Пробуя пойти от обратного, на самом сайте говорится о том, что должно быть разрешено для работы программы, соответственно была заблокирована DNS запись *.net.anydesk.com. Но AnyDesk не прост, блокировка доменного имени ему нипочем.
собрать адреса от хоста relays.net.anydesk.com
на данный момент их 391 адрес. Со знанием этого, остальная часть статьи становится просто беллетристикой.
Когда-то у меня была решена задача по блокировке «Anyplace Control» который попадал к нам с каким-то сомнительным ПО и решена она была блокировкий всего нескольких IP (я подстраховывал антивирус). Задача же с AnyDesk, после того как я вручную собрал больше десятка IP адресов, подзадорила уйти от рутинного ручного труда.
Также было обнаружено что в «C:\ProgramData\AnyDesk» есть ряд файлов с настройками и т.п., а в файл ad_svc.trace собираются события о подключениях и неудачах.
Как уже было сказано блокировка *.anydesk.com не дала никаких результатов в работе программы, было решено поанализировать поведение программы в стрессовых ситуациях. TCPView от Sysinternals в руки и вперед!
1.1. Видно что «висит» несколько интересующих нас процессов, и лишь тот который связывается с адресом извне нам интересен. Порты к которым подключается перебираются, из того что я видел это: 80, 443, 6568. 🙂 80 и 443 нам точно блокировать нельзя.
1.2. После блокировки адреса через роутер, спокойно выбирается другой адрес.
| 1.3. Консоль наше ВСЁ! Определяем PID и тут мне немного подфартило, что AnyDesk был установлен сервисом, соответсвенно искомый PID единственный. | 1.4. Определяем по PID процесса IP адрес сервера сервисов. |
| |
Так как программа для выявления IP адресов вероятно будет работать только на моем ПК, у меня нет никаких ограничений в удобстве и лени поэтому C#.
2.1. Все методы по выявлению искомого IP адреса уже известны осталось реализовать.
Аналогично находим сервис который установил соединение, приведу только основную строку
Результатом которой будет:
Из строки аналогично перыдущему шагу извлекаем 3й столбец, и убираем все что после «:». Как результат имеем наш искомый IP.
2.2. Блокировка IP в Windows. Если в Linux есть Blackhole и iptables, то метод блокировки IP адреса в одну строку, без использования брандмауэра, в Windows оказался непривычним,
но уж какие инструменты были…
Ключевой параметр «if 1» посылаем маршрут на Loopback (Отобразить доступные интерфейсы можно выполнив route print ). И ВАЖНО! Теперь программу требуется запускать с правами администратора, поскольку изменение маршрута требует повышения прав.
2.3. Отображение и сохранение выявленых IP адресов задача тривиальная и пояснения не требует. Если подумать, то можно обрабатывать и файл ad_svc.trace самого AnyDesk, но об этом я сразу не подумал + возможно на него стоит ограничение.
2.4. Странное неодинаковое поведение программы заключается в том, что при «taskkill» процесса службы в Windows 10 она перезапускается автоматически, в Windows 8 завершается, оставляя только процесс консоли и без переподключения, в общем нелогично и это неточно.
Удаление подключившегося к серверу процесса, позволяет «форсировать» переподключение на следующий адрес. Реализуется аналогично предыдущим командам, поэтому привожу только:
Дополнительно запускаем программу AnyDesk.
2.5. Проверять состояние AnyDesk будем 1 раз в минуту (или чаще?), и если она подключилась т.е. соединение ESTABLISHED — этот IP блокировать, и опять все заново — ждать пока подключится, блокировать и ждать.
Был «набросан» код, для визуализации процесса решено «+» указывать найденный и блокированный IP, а «.» — повтор проверки без успешного сосединения со стороны AnyDesk.
Программа работала на нескольких компьютерах с разными Windows ОС, с версиями AnyDesk 5 и 6. За 500 итераций собиралось около 80 адресов. За 2500 — 87 и так далее…
Со временем количество блокируемых IP дошло до 100+.
Ссылка на финальный текстовый файл (blacklist) с адресами: >>раз >два host boot-01.net.anydesk.com
как и DNSLookup дают только один IP адрес, но этот адрес вариативен. При анализе соединенией TCPView нам возвращаются PTR записи IP адресов типа relay-*.net.anydesk.com.
Теоретически: раз пинг иногда проходит на неизвестный незаблокированный хост boot-01.net.anydesk.com мы можем найти эти ip и заблокировать, эту реализацию сделать обычным скриптом под ОС Linux, тут как раз устанавливать AnyDesk не нужно. Анализ показал что эти IP часто «пересекаются» с найденными из нашего списка. Возможно это как раз этот хост, к которому и подключается программа до того, как начинает «перебирать» известные IP. Вероятно я позже дополню статью 2й частью поисков хостов, хотя на данный момент сама программа внутри сети не устанавливает внешнее соединение вообще.
Update 15.08.2020: пользователь Хабра @prymalbeets123 обратил мое внимание что существует хост relays.net.anydesk.com которому соответсвует 391 IP адрес, файл с их перечнем можно найти по указанным выше ссылкам как корректный. Замечено что у меня собранных наблюдением за программой AnyDesk адресов меньше, но есть те которые не входят в общие 391 и они резолвятся «левыми» доменными именами, получается что я также «собирал» адреса тех кто инициировал подключение к моему компьютеру :).
Надеюсь ничего противоправного Вы не увидели в вышеизложенном, а создатели AnyDesk отнесутся к моим действиям по-спортивному.
