O comando ‘Finger’ do Windows 10 pode ser usado para baixar ou roubar arquivos
A lista de executáveis nativos no Windows que podem baixar ou executar código malicioso continua crescendo, pois outro foi relatado recentemente.
Eles são conhecidos como binários que vivem fora da terra (LoLBins) e podem ajudar os invasores a contornar os controles de segurança para buscar malware sem acionar um alerta de segurança no sistema.
A adição mais recente é o finger.exe, um comando que vem com o Windows para recuperar informações sobre usuários em computadores remotos que executam o serviço ou daemon Finger. A comunicação é realizada por meio do protocolo de comunicação de rede Name / Finger .
O pesquisador de segurança John Page descobriu que o comando Microsoft Windows TCPIP Finger também pode funcionar como um downloader de arquivos e um servidor de comando e controle improvisado (C3) que pode servir para enviar comandos e exfiltrar dados.
De acordo com o pesquisador, os comandos C2 podem ser mascarados como consultas de dedo que buscam arquivos e exfiltram dados, sem que o Windows Defender detecte a atividade anômala.
Um problema pode ser que a porta 79, usada pelo protocolo Finger, é frequentemente bloqueada dentro de uma organização, diz a página em um blog na sexta-feira.
No entanto, um invasor com privilégios suficientes pode ignorar a restrição usando o Windows NetSh Portproxy, que atua como um redirecionador de porta para o protocolo TCP.
Este método permitiria ultrapassar as regras de firewall e se comunicar com os servidores pelas portas irrestritas para HTTP (S). Dessa forma, as consultas do Portproxy são entregues ao IP da máquina local e, em seguida, encaminhadas ao host C2 especificado.
Usar o finger.exe para baixar arquivos também tem limitações, mas nada que não possa ser superado, já que codificá-los com Base64 é o suficiente para evitar a detecção.
Scripts de demonstração disponíveis
O pesquisador criou scripts de prova de conceito (PoC) – DarkFinger.py para o C2 e o DarkFinger-Agent.bat do lado do cliente – e os lançou publicamente para demonstrar como a funcionalidade dupla do finger.exe.
Em um vídeo que mostra como os scripts funcionam, Page comparou seu método recém-descoberto ao certutil.exe , outro LoLBin no Windows usado para fins maliciosos.
O Windows Defender parou a atividade do certutil e registrou o evento, enquanto o script DarkFinger completou a ação ininterruptamente em uma máquina Windows 10:https://www.youtube.com/embed/cfbwS6zH7ks
Um relatório do Cisco Talos no ano passado listou 13 LoLBins no Windows, mas os pesquisadores de segurança encontraram novos executáveis que se encaixam na conta.
Um dos mais recentes BleepingComputer relatado não é outro senão o antivírus Windows Defender embutido no Windows, que pode baixar arquivos arbitrários usando o -DownloadFile
argumento da linha de comando, adicionado na versão 4.18.2007.9 ou 4.18.2009.9.
Outro é o “ desktopimgdownldr.exe ” , um executável presente no diretório system32 do Windows 10, que faz parte do Personalization CSP para alterar a tela de bloqueio e as imagens de fundo da área de trabalho.
Anteriormente, informamos que o Microsoft Teams também pode ajudar um invasor a recuperar e executar malware de um local remoto.