Se puede abusar del comando "Finger" de Win 10 para descargar o robar archivos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La lista de ejecutables nativos en Windows que pueden descargar o ejecutar código malicioso sigue creciendo, ya que se ha informado de otro recientemente.

Estos se conocen como "living-off-the-land binaries" (LoLBins) y pueden ayudar a los atacantes a eludir los controles de seguridad para buscar malware sin activar una alerta de seguridad en el sistema.
Funciona para descargar y exfil

La última incorporación es finger.exe, un comando que viene con Windows para recuperar información sobre usuarios en computadoras remotas que ejecutan el servicio o daemon Finger. La comunicación se realiza a través del protocolo de comunicación de red Name / Finger.

El investigador de seguridad John Page descubrió que el comando Finger TCPIP de Microsoft Windows también puede funcionar como un descargador de archivos y un servidor de comando y control (C3) improvisado que puede servir para enviar comandos y filtrar datos.

Según el investigador, los comandos C2 se pueden enmascarar como consultas "Finger" que recuperan archivos y exfiltran datos, sin que Windows Defender detecte la actividad anómala.

Un problema podría ser que el puerto 79, utilizado por el protocolo Finger, a menudo está bloqueado dentro de una organización, dice la página en una publicación de blog el viernes.

Sin embargo, un atacante con suficientes privilegios puede eludir la restricción utilizando Windows NetSh Portproxy, que actúa como un redirector de puertos para el protocolo TCP.

Este método permitiría superar las reglas de firewall y comunicarse con los servidores a través de los puertos no restringidos para HTTP (S). De esta manera, las consultas de Portproxy se envían a la IP de la máquina local y luego se reenvían al host C2 especificado.

El uso de finger.exe para descargar archivos también tiene limitaciones, pero nada que no pueda superarse, ya que codificarlos con Base64 es suficiente para evadir la detección.

Scripts de demostración disponibles

El investigador creó scripts de prueba de concepto (PoC), No tienes permitido ver los links. Registrarse o Entrar a mi cuenta para el C2 y DarkFinger-Agent.bat del lado del cliente, y los publicó públicamente para demostrar la doble funcionalidad de finger.exe.

En un video que muestra cómo funcionan los scripts, Page comparó su método recién descubierto con certutil.exe, otro LoLBin en Windows abusado con fines maliciosos.

Windows Defender detuvo la actividad de certutil y registró el evento, mientras que el script DarkFinger completó la acción sin interrupciones en una máquina con Windows 10:



Un informe de Cisco Talos el año pasado enumeró 13 LoLBins en Windows, pero los investigadores de seguridad encontraron nuevos ejecutables que se ajustan a los requisitos.

Uno de los más recientes sobre los que se informó no es otro que el antivirus Windows Defender integrado en Windows, que puede descargar archivos arbitrarios utilizando el argumento de línea de comandos -DownloadFile, agregado en la versión 4.18.2007.9 o 4.18.2009.9.

Otro es "desktopimgdownldr.exe", un ejecutable presente en el directorio system32 de Windows 10, que forma parte del CSP de personalización para cambiar la pantalla de bloqueo y las imágenes de fondo del escritorio.

Anteriormente, fue noticia que Microsoft Teams también podría ayudar a un atacante a recuperar y ejecutar malware desde una ubicación remota.

Fuente:
Bleepingomputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
[/size]