O comando de dedo do Windows 10 exibe as informações sobre o usuário no computador remoto

De acordo com o pesquisador de segurança “John Page”, o comando TCPIP Finger do Microsoft Windows vem com o Windows para recuperar informações sobre você em um computador remoto executando o Finger ou daemon. Ele também pode funcionar como baixador de arquivos e servidor de comando e controle improvisado que pode servir para enviar comandos e exfiltrar dados. Essas comunicações são realizadas através do protocolo de comunicação de rede Finger.

 “Finger.exe” é um arquivo ou processo executável legítimo relacionado ao Sistema Operacional Microsoft Windows da Microsoft Company, enquanto processos não pertencentes ao sistema, como o Finger.exe, são originados do software instalado em seu computador. Este arquivo contém código de máquina. Se você iniciar o software Microsoft Windows OS em seu PC, os comandos contidos em “Finger.exe” em código de máquina serão executados em seu PC.

O programa “Finger.exe” é carregado na memória principal (RAM) e é executado como um processo TCPIP Finger Command. O Finger Command do Windows 10 pode ser usado abusivamente para baixar ou roubar arquivos. De acordo com os pesquisadores, os comandos C2 podem ser colocados em camadas como consultas de comando do dedo que buscam arquivos e dados exfiltrados sem a detecção de suas atividades maliciosas pelo programa Windows Defender no Windows 10.

Os cibercriminosos com privilégios suficientes podem contornar as restrições usando o “Windows NetSh PortProxy”, que atua como redirecionador de porta para o protocolo TCP. Eles podem usar esse método para contornar as regras do Firewall e se comunicar com os servidores C2 por meio de portas irrestritas para HTTPs. As consultas do “Windows NetSh PortProxy” são compartilhadas com o IP da máquina local e, em seguida, encaminhadas para o host C2 específico.

Para quem não sabe, “Finger.exe” tem limitações para baixar arquivos, mas isso não pode ser superado, pois codificá-los com Base64 é o suficiente para escapar da detecção. No entanto, o pesquisador de segurança criou scripts de “prova de conceito (PoC)” e os lançou publicamente para demonstrar como a funcionalidade dupla do Finger.exe. Esses scripts incluem DarkFinger.py para C2 e DarkFinger-Agent.bat do lado do cliente. O pesquisador em sua página publicada afirma que os scripts recém-criados com Certutil.exe e LOLBIn com Windows são usados ​​para fins maliciosos.

Quando falamos sobre o programa “Certutil.exe”, o Windows Defender parou a atividade certutil e registrou o evento enquanto o comando Finger como script DarkFinger concluía a ação ininterruptamente no dispositivo Windows 10. Estamos pesquisando sobre o assunto profundamente e definitivamente postaremos uma atualização, se vier no futuro. Se você tiver alguma sugestão ou dúvida em relação ao Windows 10 Finger Command exibe as informações sobre o usuário no computador remoto, escreva na caixa de comentários fornecida abaixo.