Lệnh 'Finger' của Windows 10 có thể bị lạm dụng để tải xuống hoặc lấy cắp file

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:0911, 16/09/20, 01:09 PM.

  1. WhiteHat News #ID:0911

    WhiteHat News #ID:0911 WhiteHat Support

    Tham gia: 30/07/14, 10:07 AM
    Bài viết: 598
    Đã được thích: 71
    Điểm thành tích:
    48
    Danh sách các tệp thực thi gốc trong Windows có thể bị lạm dụng để tải xuống hoặc chạy mã độc hại tiếp tục dài thêm.
    LoLBin1.jpg
    Những tệp thực thi gốc này được gọi là mã nhị phân LoLBins, có thể tạo điều kiện cho kẻ tấn công qua mặt các biện pháp kiểm soát an ninh mà không kích hoạt cảnh báo an ninh trên hệ thống.

    finger.exe đi kèm Windows có nhiệm vụ truy xuất thông tin người dùng trên các máy tính từ xa đang chạy dịch vụ Finger hoặc daemon. Thông tin liên lạc được truyền thông qua giao thức mạng Name/Finger.

    Theo nhà nghiên cứu an ninh John, lệnh Microsoft Windows TCPIP Finger cũng có thể hoạt động như một trình tải tệp và một máy chủ C3 phục vụ gửi lệnh và lấy dữ liệu.

    Các lệnh C2 có thể được che giấu dưới dạng truy vấn finger thực hiện lấy tệp và lọc dữ liệu mà không bị Windows Defender phát hiện, nhà nghiên cứu cho hay.

    Một vấn đề có thể xảy đến đó là cổng 79, được sử dụng bởi giao thức Finger, thường bị chặn.

    Tuy nhiên, kẻ tấn công có đủ đặc quyền có thể qua mặt bằng cách sử dụng Windows NetSh Portproxy, hoạt động như một công cụ chuyển hướng cổng cho giao thức TCP.

    Cách thức này cho phép kẻ tấn công vượt qua tường lửa và liên lạc với máy chủ qua các cổng không giới hạn HTTP(s). Bằng cách này, các truy vấn Portproxy được gửi đến IP của máy nội bộ và sau đó được chuyển tiếp đến máy chủ C2 được chỉ định.

    Nhà nghiên cứu đã tạo các tệp lệnh PoC - DarkFinger.py cho C2 và DarkFinger-Agent.bat phía máy khách và phát hành công khai để chứng minh cách thức hoạt động kép của finger.exe.

    Trong video mô tả cách thức hoạt động của các tệp lệnh, Page so sánh phương pháp mới phát hiện của mình với certutil.exe, một LoLBin khác trong Windows từng bị lạm dụng cho các mục đích xấu.

    Windows Defender đã dừng hoạt động certutil và ghi lại sự kiện, trong khi tệp lệnh DarkFinger hoàn thành mà không bị gián đoạn trên máy Windows 10:


    Nguồn: Bleeping computer
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tags: