Polecenie palca systemu Windows 10 wyświetla informacje o użytkowniku na komputerze zdalnym

Według badacza bezpieczeństwa „John Page”, polecenie Microsoft Windows TCPIP Finger jest dostarczane z systemem Windows w celu pobrania informacji o tobie na zdalnym komputerze, na którym działa Finger lub demon. Może również działać jako narzędzie do pobierania plików i prowizoryczny serwer dowodzenia i kontroli, który może służyć do wysyłania poleceń i eksfiltrowania danych. Komunikacja ta jest przenoszona za pośrednictwem protokołu komunikacyjnego sieci Finger.

 „Finger.exe” to prawdziwy plik wykonywalny lub proces związany z systemem operacyjnym Microsoft Windows firmy Microsoft, natomiast procesy niesystemowe, takie jak Finger.exe, pochodzą z oprogramowania zainstalowanego na komputerze. Ten plik zawiera kod maszynowy. Jeśli uruchomisz oprogramowanie Microsoft Windows OS na swoim komputerze, polecenia zawarte w „Finger.exe” w kodzie maszynowym zostaną wykonane na Twoim komputerze.

Program „Finger.exe” jest ładowany do pamięci głównej (RAM) i tam uruchamiany jako proces TCPIP Finger Command. Polecenie Finger w systemie Windows 10 może być wykorzystywane do pobierania lub kradzieży plików. Według naukowców polecenia C2 mogą być ułożone warstwowo jako zapytania poleceń palca, które pobierają pliki i eksfiltrowane dane bez wykrywania złośliwych działań przez program Windows Defender w systemie Windows 10.

Cyberprzestępcy z wystarczającymi uprawnieniami mogą ominąć ograniczenia, używając „Windows NetSh PortProxy”, działającego jako przekierowanie portów dla protokołu TCP. Mogą użyć tej metody do ominięcia reguł zapory i komunikowania się z serwerami C2 przez nieograniczone porty dla HTTPs. Zapytania „Windows NetSh PortProxy” są udostępniane na adres IP komputera lokalnego, a następnie przekazywane do określonego hosta C2.

Dla tych, którzy nie są tego świadomi, „Finger.exe” ma ograniczenia dotyczące pobierania plików, ale nie można go pokonać, ponieważ kodowanie ich za pomocą Base64 jest wystarczające, aby uniknąć wykrycia. Jednak badacz bezpieczeństwa stworzył skrypty „Proof-of-concept (PoC)” i udostępnił je publicznie, aby zademonstrować podwójną funkcjonalność Finger.exe. Te skrypty obejmują DarkFinger.py dla C2 i DarkFinger-Agent.bat po stronie klienta. Badacz na swojej opublikowanej stronie stwierdza, że ​​te nowo utworzone skrypty z Certutil.exe i LOLBIn z Windows zostały wykorzystane do złośliwych celów.

Kiedy mówimy o programie „Certutil.exe”, Windows Defender zatrzymał aktywność certutil i zarejestrował zdarzenie, podczas gdy polecenie Finger jako skrypt DarkFingera wykonało akcję nieprzerwanie na urządzeniu z systemem Windows 10. Badamy sprawę bardzo głęboko i na pewno opublikujemy aktualizację, jeśli nadejdzie w przyszłości. Jeśli masz jakieś sugestie lub pytania dotyczące Windows 10 Finger Command wyświetla informacje o użytkowniku na komputerze zdalnym, napisz w polu komentarza podanym poniżej.