Windows中可以下载或运行恶意代码的本机可执行文件列表随着最近的报道而不断增长。
这些被称为离地二进制文件(LoLBins),可以帮助攻击者绕过安全控制措施来获取恶意软件,而无需在系统上触发安全警报。
适用于下载和配置文件
最新添加的是finger.exe,这是Windows附带的命令,用于在运行Finger服务或守护程序的远程计算机上检索有关用户的信息。通过Name/Finger网络通信协议进行通信。
安全研究员John Page发现Microsoft Windows TCPIP Finger命令还可以充当文件下载器和makeshift命令与控制(C3)服务器,以用于发送命令和提取数据。
据研究人员称,C2命令可以掩盖为获取文件并泄露数据的手指查询,而Windows Defender不会检测到异常活动。
该页面在周五的博客中说,一个问题可能是Finger协议使用的79端口经常在组织内部被阻塞。
但是,具有足够特权的攻击者可以通过使用Windows NetSh Portproxy(该端口充当TCP协议的端口重定向器)来绕过该限制。
此方法将允许通过防火墙规则,并通过HTTP(S)的不受限制端口与服务器通信。这样,Portproxy查询将传递到本地计算机IP,然后转发到指定的C2主机。
使用finger.exe下载文件也有局限性,但是无法克服,因为使用Base64对其进行编码足以逃避检测。
演示脚本可用
研究人员创建了概念验证(PoC)脚本-用于C2的DarkFinger.py和客户端DarkFinger-Agent.bat-并公开发布,以演示finger.exe的双重功能。
在展示脚本工作原理的视频中,佩奇将他新发现的方法与certutil.exe进行了比较,certutil.exe是Windows中另一个出于恶意目的而滥用的LoLBin。
Windows Defender停止了certutil活动并记录了该事件,而DarkFinger脚本在Windows 10计算机上不间断地完成了该操作:
一个来自思科的Talos报告,去年上市的13个LoLBins在Windows,但安全研究人员发现,符合该法案新的可执行文件。
据报道,最新的BleepingComputer之一是Windows内置的 Windows Defender防病毒软件,它可以使用-DownloadFile命令行参数(版本4.18.2007.9或4.18.2009.9中添加)下载任意文件。
另一个是“ desktopimgdownldr.exe ”,它是Windows 10的system32目录中存在的可执行文件,它是Personalization CSP的一部分,用于更改锁定屏幕和桌面背景图像。
*编译:Domino
*来自:bleepingcomputer