Polecenie „Finger” systemu Windows 10 może być wykorzystywane do kradzieży plików.

Niebezpieczne pliki Windows

Lista natywnych plików wykonywalnych w systemie Windows, które mogą pobierać lub uruchamiać złośliwy kod, stale rośnie. Ostatnio zgłoszono kolejny – finger.exe.

Takie pliki binarne są określane ciekawym angielskim zwrotem living-off-the-land (LoLBins) bowiem mogą pomóc atakującym w obejściu kontroli bezpieczeństwa w celu pobrania złośliwego oprogramowania bez wywoływania ostrzeżenia o bezpieczeństwie w systemie.

Finger jako C&C

Najnowszym odkryciem jest więc niepozorny finger.exe, polecenie dostarczane z systemem Windows do pobierania informacji o użytkownikach na zdalnych komputerach z uruchomioną usługą lub demonem Finger. Komunikacja odbywa się za pośrednictwem protokołu komunikacyjnego sieci Name/Finger.

Badacz bezpieczeństwa John Page odkrył, że to polecenie Microsoft Windows może jednak również działać jako narzędzie do pobierania plików i prowizoryczny serwer poleceń i kontroli, który może służyć do wysyłania poleceń i pozyskiwania danych.

Według niego polecenia command & control można zamaskować jako „zwykłe” zapytania finger, które jednak pobierają pliki i pozyskują dane, bez wykrywania przez program Windows Defender takiej anormalnej aktywności.

Szczegóły problemu

Jednym z problemów może być to, że port 79, używany przez protokół Finger, jest często blokowany w organizacjach. Jednak osoba atakująca z wystarczającymi uprawnieniami może ominąć to ograniczenie, używając protokołu Windows NetSh Portproxy, który działa jako port przekierowujący dla protokołu TCP. Ta metoda pozwala ominąć reguły zapory i komunikować się z serwerami przez niefiltrowane porty HTTP oraz HTTPS. W ten sposób zapytania Portproxy są dostarczane na adres IP komputera lokalnego, a następnie przekazywane do określonego hosta command & control.

Oczywiście samo używanie pliku finger.exe do pobierania plików ma swoje dalsze ograniczenia, ale nie jest to nic takiego czego nie można by obejść, ponieważ kodowanie pobieranych danych za pomocą Base64 wystarczy, aby uniknąć wykrycia.

Proof of concept

Page stworzył dwa skrypty proof-of-concept (PoC): DarkFinger.py dla serwera oraz DarkFinger-Agent.bat po stronie klienta i udostępnił je publicznie, aby zademonstrować zagrożenia jakie niesie ze sobą plik finger.exe.

W filmie pokazującym, jak działają skrypty, Page porównał swoją nowo odkrytą metodę z certutil.exe, kolejnym LoLBinem w systemie Windows wykorzystywanym do złośliwych celów. Jednak o ile Windows Defender zatrzymał aktywność certutil i zarejestrował zdarzenie, podczas gdy skrypt DarkFinger wykonał akcję nieprzerwanie na komputerze z systemem Windows 10.

Poczet psujów windowsowych

Raport Cisco Talos z zeszłego roku wymienił 13 LoLBinów w systemie Windows, ale badacze bezpieczeństwa znaleźli nowe pliki wykonywalne, które dopisali do tej niechlubnej listy. Jednym z ostatnich zgłoszeń jest nic innego jak program antywirusowy Windows Defender wbudowany w system Windows, który może pobierać dowolne pliki za pomocą argumentu wiersza polecenia -DownloadFile. Innym jest desktopimgdownldr.exe, plik wykonywalny obecny w katalogu system32 systemu Windows 10. Także zresztą Microsoft Teams może również pomóc osobie atakującej w odzyskaniu i uruchomieniu złośliwego oprogramowania ze zdalnej lokalizacji.