Windows 10 Finger Command visualizza le informazioni sull’utente sul computer remoto

Secondo il ricercatore di sicurezza “John Page”, il comando TCPIP Finger di Microsoft Windows viene fornito con Windows per recuperare le informazioni su di te sul computer remoto che esegue Finger o daemon. Può anche funzionare come downloader di file e server di comando e controllo improvvisato che può servire per l’invio di comandi e l’esfiltrazione di dati. Queste comunicazioni vengono effettuate tramite il protocollo di comunicazione di rete Finger.

 “Finger.exe” è un file eseguibile o un processo legittimo correlato al sistema operativo Microsoft Windows della società Microsoft, mentre i processi non di sistema come Finger.exe provengono dal software installato sul computer. Questo file contiene il codice macchina. Se avvii il software Microsoft Windows OS sul PC, i comandi contenuti in “Finger.exe” nel codice macchina verranno eseguiti sul tuo PC.

Il programma “Finger.exe” viene caricato nella memoria principale (RAM) e viene eseguito come processo TCPIP Finger Command. Il comando dito di Windows 10 può essere utilizzato in modo improprio per scaricare o rubare file. Secondo i ricercatori, i comandi C2 possono essere stratificati come query di comando finger che recuperano file e dati esfiltrati senza il rilevamento delle sue attività dannose da parte del programma Windows Defender su Windows 10.

I criminali informatici con privilegi sufficienti possono aggirare le restrizioni utilizzando “Windows NetSh PortProxy”, che funge da redirector di porta per il protocollo TCP. Possono utilizzare questo metodo per aggirare le regole del firewall e comunicare con i server C2 su porte illimitate per HTTP. Le query “Windows NetSh PortProxy” vengono condivise sull’IP della macchina locale e quindi inoltrate all’host C2 specifico.

Per coloro che non lo sanno, “Finger.exe” ha dei limiti per scaricare i file ma non può essere superato poiché codificarli con Base64 è sufficiente per eludere il rilevamento. Tuttavia, un ricercatore di sicurezza ha creato script “Proof-of-concept (PoC)” e li ha rilasciati pubblicamente per dimostrare come funziona la doppia funzionalità di Finger.exe. Questi script includono DarkFinger.py per C2 e DarkFinger-Agent.bat lato client. Il ricercatore sulla sua pagina pubblicata afferma che questo script appena creato con Certutil.exe e LOLBIn con Windows è stato abusato per scopi dannosi.

Quando si parla del programma “Certutil.exe”, Windows Defender ha interrotto l’attività di certutil e ha registrato l’evento mentre il comando Finger come script DarkFinger ha completato l’azione senza interruzioni sul dispositivo Windows 10. Stiamo facendo ricerche molto approfondite sulla materia e pubblicheremo sicuramente un aggiornamento, se arriverà in futuro. In caso di suggerimenti o domande su Windows 10 Finger Command visualizza le informazioni sull’utente sul computer remoto, scrivere nella casella dei commenti fornita di seguito.