команда, windows, finger

Злоумышленники используют обычно безобидную команду Windows Finger для загрузки и установки вредоносного бэкдора на устройства жертв.

Команда Finger. это утилита, созданная в операционных системах Linux / Unix, которая позволяет локальному пользователю получать список пользователей на удаленном компьютере или информацию о конкретном удаленном пользователе. Помимо Linux, в Windows есть команда finger.exe, которая выполняет те же функции.

Чтобы выполнить команду Finger, пользователь должен ввести finger [user] @ [remote_host]. Например, finger bleeping@www.bleepingcomputer.com.

В сентябре мы сообщили, что исследователи безопасности обнаружили способ использования Finger в качестве LoLBin для загрузки вредоносных программ с удаленного компьютера или эксфильтрации данных. LolBins. это легитимные программы, которые могут помочь злоумышленникам обойти меры безопасности для получения вредоносных программ, не вызывая оповещения системы безопасности.

Палец, используемый в активной вредоносной кампании

На этой неделе исследователь безопасности Кирк Сэйр обнаружил фишинговую кампанию, в которой использовалась команда Finger для загрузки вредоносного ПО MineBridge backdoor.

FireEye впервые сообщила о вредоносном ПО MineBridge после обнаружения многочисленных фишинговых кампаний, направленных на южнокорейские организации. Эти фишинговые письма содержат вредоносные документы Word, замаскированные под резюме соискателя, которые устанавливают вредоносное ПО MineBridge.

READ  Установка Windows 10 На Ноутбук Asus

Как и предыдущие кампании MineBridge, которые видел FireEye, та, которую обнаружил Sayre, также выдает себя за резюме соискателя, как показано ниже.

Когда жертва нажимает кнопки «Разрешить редактирование» или «Разрешить содержимое», запускается защищенный паролем макрос для загрузки вредоносного ПО MineBridge и его запуска.

BleepingComputer смог обойти защиту паролем макроса Word, который показан ниже в его обфусцированной форме.

Деобфусцированная команда, выполняемая макросом, показанным ниже, использует команду finger для загрузки сертификата в кодировке Base64 с удаленного сервера и сохраняет его как% AppData% \ vUCooUr.

Сертификат, полученный с помощью команды finger, является исполняемым файлом вредоносной программы-загрузчика в кодировке base64. Этот сертификат декодируется с помощью команды certutil.exe, сохраняется как% AppData% \ vUCooUr.exe, а затем выполняется.

После выполнения загрузчик загрузит исполняемый файл TeamViewer и воспользуется перехватом DLL для загрузки вредоносной DLL, вредоносной программы MineBridge.

После загрузки MineBridge удаленные злоумышленники получат полный доступ к компьютеру и позволят им прослушивать звук через микрофон зараженного устройства и выполнять другие вредоносные действия.

READ  Продолжайте в том же духе с Nomad - s Base Station Pro - первым по-настоящему бесплатным зарядным устройством Qi

«В совокупности два метода C2 поддерживают команды для загрузки и выполнения полезных нагрузок, загрузки произвольных файлов, самоудаления и обновления, вывода списка процессов, завершения работы и перезагрузки системы, выполнения произвольных команд оболочки, повышения прав процесса, включения / выключения микрофона TeamViewer, и сбор информации о системе UAC «. поясняет FireEye в своем отчете.

Поскольку Finger сегодня используется редко, рекомендуется, чтобы администраторы заблокировали команду Finger в своей сети, будь то через AppLocker или другие методы.

Источник