LoLBins：Finger命令可用于窃取文件

据报道，Windows中可以下载或运行恶意代码的可执行程序在不断增加。其被称为“living-off-the-land binaries”(LoLBins)，它可以帮助攻击者绕过安全策略并下载恶意软件而不触发系统上的安全警报。

最近增加的一个命令是finger.exe。它是Windows附带的命令，用于检索运行Finger服务和显示系统中的用户信息。其通过Name/Finger网络通信协议进行通信。

安全研究员John Page发现Microsoft Windows TCP/IP Finger命令还可以充当文件下载器和makeshift命令与控制（C3）服务器，以用于发送命令和窃取数据。

相关研究人员称，C2命令可以伪装成finger queries来窃取数据，而不被Windows Defender检测到这种异常行为。

一种可能是Finger协议使用的79端口经常在组织内部被屏蔽。但是，具有足够特权的攻击者可以通过使用Windows NetSh Portproxy代理绕过这一限制，该代理充当TCP协议的端口重定向。

这种方法将允许通过防火墙规则，并使用不受限制的HTTP端口与服务器通信。通过这种方法，Portproxy查询被传递到本地IP，然后转发到指定的C2主机。

使用finger.exe下载文件也存在一些限制，但使用Base64编码足以绕过检测。

目前，针对C2的DarkFinger.py和客户端的darkfinger代理的PoC已经公开发布，以用来演示finger.exe的不同功能。

在脚本展示的视频中，研究人员新发现的方法与certutil.exe进行了比较，certutil.exe是Windows中另一个出于恶意目的而滥用的LoLBin。

结果，Windows Defender停止了certutil的进程并记录了该事件，而DarkFinger脚本在Windows 10计算机上不间断地完成了该攻击行为。

LoLBins是系统提供的二进制文件，通常用于合法目的，但也可能被恶意攻击者滥用。总体而言，攻击者可以使用LoLBins来：

• 下载并安装恶意代码

• 执行恶意代码

• 绕过UAC

• 绕过诸如（WDAC）的应用程序控制

Cisco Talos在去年的一份报告中列出了Windows中的13个LoLBins（Talos主要感兴趣的是寻找可用于下载或执行恶意代码的可执行文件），安全研究人员在其中发现了符合要求的新可执行文件。如下：

        1. powershell.exe

        2. bitsadmin.exe

        3. certutil.exe

        4. psexec.exe

        5. wmic.exe

        6. mshta.exe

        7. mofcomp.exe

        8. cmstp.exe

        9. windbg.exe

        10. cdb.exe

        11. msbuild.exe

        12. csc.exe

        13. regsvr32.exe

最新的BleepingComputer报告之一是Windows内置的 Windows Defender防病毒软件，它可以使用DownloadFile命令下载任意文件（4.18.2007.9或4.18.2009.9版本）。

另一个是“desktopimgdownldr.exe”。它是一个存在于Windows 10的system32目录中的可执行文件，它是用于更改锁定屏幕和桌面背景图像的Personalization CSP的一部分。

参考链接

https://blog.talosintelligence.com/2019/11/hunting-for-lolbins.html

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/finger

https://www.bleepingcomputer.com/news/security/windows-10-finger-command-can-be-abused-to-download-or-steal-files/