Se puede abusar del comando "Finger" de Win 10 para descargar o robar archivos

  • 0 Respuestas
  • 505 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 962
  • Actividad:
    100%
  • Country: 00
  • Reputación 17
    • Ver Perfil
    • Email


La lista de ejecutables nativos en Windows que pueden descargar o ejecutar código malicioso sigue creciendo, ya que se ha informado de otro recientemente.

Estos se conocen como “living-off-the-land binaries” (LoLBins) y pueden ayudar a los atacantes a eludir los controles de seguridad para buscar malware sin activar una alerta de seguridad en el sistema.
Funciona para descargar y exfil

La última incorporación es finger.exe, un comando que viene con Windows para recuperar información sobre usuarios en computadoras remotas que ejecutan el servicio o daemon Finger. La comunicación se realiza a través del protocolo de comunicación de red Name / Finger.

El investigador de seguridad John Page descubrió que el comando Finger TCPIP de Microsoft Windows también puede funcionar como un descargador de archivos y un servidor de comando y control (C3) improvisado que puede servir para enviar comandos y filtrar datos.

Según el investigador, los comandos C2 se pueden enmascarar como consultas “Finger” que recuperan archivos y exfiltran datos, sin que Windows Defender detecte la actividad anómala.

Un problema podría ser que el puerto 79, utilizado por el protocolo Finger, a menudo está bloqueado dentro de una organización, dice la página en una publicación de blog el viernes.

Sin embargo, un atacante con suficientes privilegios puede eludir la restricción utilizando Windows NetSh Portproxy, que actúa como un redirector de puertos para el protocolo TCP.

Este método permitiría superar las reglas de firewall y comunicarse con los servidores a través de los puertos no restringidos para HTTP (S). De esta manera, las consultas de Portproxy se envían a la IP de la máquina local y luego se reenvían al host C2 especificado.

El uso de finger.exe para descargar archivos también tiene limitaciones, pero nada que no pueda superarse, ya que codificarlos con Base64 es suficiente para evadir la detección.

Scripts de demostración disponibles

El investigador creó scripts de prueba de concepto (PoC), DarkFinger.py para el C2 y DarkFinger-Agent.bat del lado del cliente, y los publicó públicamente para demostrar la doble funcionalidad de finger.exe.

En un video que muestra cómo funcionan los scripts, Page comparó su método recién descubierto con certutil.exe, otro LoLBin en Windows abusado con fines maliciosos.

Windows Defender detuvo la actividad de certutil y registró el evento, mientras que el script DarkFinger completó la acción sin interrupciones en una máquina con Windows 10:



Un informe de Cisco Talos el año pasado enumeró 13 LoLBins en Windows, pero los investigadores de seguridad encontraron nuevos ejecutables que se ajustan a los requisitos.

Uno de los más recientes sobre los que se informó no es otro que el antivirus Windows Defender integrado en Windows, que puede descargar archivos arbitrarios utilizando el argumento de línea de comandos -DownloadFile, agregado en la versión 4.18.2007.9 o 4.18.2009.9.

Otro es "desktopimgdownldr.exe", un ejecutable presente en el directorio system32 de Windows 10, que forma parte del CSP de personalización para cambiar la pantalla de bloqueo y las imágenes de fondo del escritorio.

Anteriormente, fue noticia que Microsoft Teams también podría ayudar a un atacante a recuperar y ejecutar malware desde una ubicación remota.

Fuente:
Bleepingomputer
https://www.bleepingcomputer.com/news/security/windows-10-finger-command-can-be-abused-to-download-or-steal-files/

 

Algoritmos para engañar a algoritmos

Iniciado por Dragora

Respuestas: 0
Vistas: 541
Último mensaje Agosto 06, 2020, 12:46:02 am
por Dragora
GOOGLE ASSISTANT | El asistente personal para Android de Google

Iniciado por CNait

Respuestas: 1
Vistas: 3189
Último mensaje Noviembre 07, 2016, 04:26:11 am
por Stiuvert
Chrome Dev Editor, el IDE de Google para programar desde Chrome

Iniciado por Flemon

Respuestas: 0
Vistas: 3261
Último mensaje Julio 27, 2014, 12:45:58 pm
por Flemon
EK presenta sus bloques full cover para las AMD RX 5700 y RX 5700 XT con D-RGB

Iniciado por Dragora

Respuestas: 0
Vistas: 295
Último mensaje Noviembre 13, 2019, 11:08:32 am
por Dragora
El nuevo WPA3 es oficial: un nuevo protocolo para proteger tu WiFi

Iniciado por graphixx

Respuestas: 1
Vistas: 2981
Último mensaje Junio 28, 2018, 03:46:51 am
por Gabriela