WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lệnh 'Finger' của Windows 10 có thể bị lạm dụng để tải xuống hoặc lấy cắp file
Danh sách các tệp thực thi gốc trong Windows có thể bị lạm dụng để tải xuống hoặc chạy mã độc hại tiếp tục dài thêm.
Những tệp thực thi gốc này được gọi là mã nhị phân LoLBins, có thể tạo điều kiện cho kẻ tấn công qua mặt các biện pháp kiểm soát an ninh mà không kích hoạt cảnh báo an ninh trên hệ thống.
finger.exe đi kèm Windows có nhiệm vụ truy xuất thông tin người dùng trên các máy tính từ xa đang chạy dịch vụ Finger hoặc daemon. Thông tin liên lạc được truyền thông qua giao thức mạng Name/Finger.
Theo nhà nghiên cứu an ninh John, lệnh Microsoft Windows TCPIP Finger cũng có thể hoạt động như một trình tải tệp và một máy chủ C3 phục vụ gửi lệnh và lấy dữ liệu.
Các lệnh C2 có thể được che giấu dưới dạng truy vấn finger thực hiện lấy tệp và lọc dữ liệu mà không bị Windows Defender phát hiện, nhà nghiên cứu cho hay.
Một vấn đề có thể xảy đến đó là cổng 79, được sử dụng bởi giao thức Finger, thường bị chặn.
Tuy nhiên, kẻ tấn công có đủ đặc quyền có thể qua mặt bằng cách sử dụng Windows NetSh Portproxy, hoạt động như một công cụ chuyển hướng cổng cho giao thức TCP.
Cách thức này cho phép kẻ tấn công vượt qua tường lửa và liên lạc với máy chủ qua các cổng không giới hạn HTTP(s). Bằng cách này, các truy vấn Portproxy được gửi đến IP của máy nội bộ và sau đó được chuyển tiếp đến máy chủ C2 được chỉ định.
Nhà nghiên cứu đã tạo các tệp lệnh PoC - DarkFinger.py cho C2 và DarkFinger-Agent.bat phía máy khách và phát hành công khai để chứng minh cách thức hoạt động kép của finger.exe.
Trong video mô tả cách thức hoạt động của các tệp lệnh, Page so sánh phương pháp mới phát hiện của mình với certutil.exe, một LoLBin khác trong Windows từng bị lạm dụng cho các mục đích xấu.
Windows Defender đã dừng hoạt động certutil và ghi lại sự kiện, trong khi tệp lệnh DarkFinger hoàn thành mà không bị gián đoạn trên máy Windows 10:
finger.exe đi kèm Windows có nhiệm vụ truy xuất thông tin người dùng trên các máy tính từ xa đang chạy dịch vụ Finger hoặc daemon. Thông tin liên lạc được truyền thông qua giao thức mạng Name/Finger.
Theo nhà nghiên cứu an ninh John, lệnh Microsoft Windows TCPIP Finger cũng có thể hoạt động như một trình tải tệp và một máy chủ C3 phục vụ gửi lệnh và lấy dữ liệu.
Các lệnh C2 có thể được che giấu dưới dạng truy vấn finger thực hiện lấy tệp và lọc dữ liệu mà không bị Windows Defender phát hiện, nhà nghiên cứu cho hay.
Một vấn đề có thể xảy đến đó là cổng 79, được sử dụng bởi giao thức Finger, thường bị chặn.
Tuy nhiên, kẻ tấn công có đủ đặc quyền có thể qua mặt bằng cách sử dụng Windows NetSh Portproxy, hoạt động như một công cụ chuyển hướng cổng cho giao thức TCP.
Cách thức này cho phép kẻ tấn công vượt qua tường lửa và liên lạc với máy chủ qua các cổng không giới hạn HTTP(s). Bằng cách này, các truy vấn Portproxy được gửi đến IP của máy nội bộ và sau đó được chuyển tiếp đến máy chủ C2 được chỉ định.
Nhà nghiên cứu đã tạo các tệp lệnh PoC - DarkFinger.py cho C2 và DarkFinger-Agent.bat phía máy khách và phát hành công khai để chứng minh cách thức hoạt động kép của finger.exe.
Trong video mô tả cách thức hoạt động của các tệp lệnh, Page so sánh phương pháp mới phát hiện của mình với certutil.exe, một LoLBin khác trong Windows từng bị lạm dụng cho các mục đích xấu.
Windows Defender đã dừng hoạt động certutil và ghi lại sự kiện, trong khi tệp lệnh DarkFinger hoàn thành mà không bị gián đoạn trên máy Windows 10:
Nguồn: Bleeping computer