La lista de ejecutables nativos en Windows que pueden descargar o ejecutar código malicioso sigue creciendo, ya que se ha informado de otro recientemente.
Estos se conocen como binarios que viven fuera de la tierra (LoLBins) y pueden ayudar a los atacantes a eludir los controles de seguridad para buscar malware sin activar una alerta de seguridad en el sistema.
La última incorporación es finger.exe , un comando que viene con Windows para recuperar información sobre usuarios en computadoras remotas que ejecutan el servicio o demonio Finger. La comunicación se realiza a través del protocolo de comunicación de red Name / Finger .
El investigador de seguridad John Page descubrió que el comando Finger TCPIP de Microsoft Windows también puede funcionar como un descargador de archivos y un servidor de comando y control (C3) improvisado que puede servir para enviar comandos y filtrar datos.
Según el investigador, los comandos C2 se pueden enmascarar como consultas de dedo que recuperan archivos y exfiltran datos, sin que Windows Defender detecte la actividad anómala.
Un problema podría ser que el puerto 79, utilizado por el protocolo Finger, a menudo está bloqueado dentro de una organización, dice la página en una publicación de blog el viernes.
Sin embargo, un atacante con suficientes privilegios puede eludir la restricción utilizando Windows NetSh Portproxy, que actúa como un redirector de puertos para el protocolo TCP.
Este método permitiría superar las reglas de firewall y comunicarse con los servidores a través de los puertos no restringidos para HTTP (S). De esta manera, las consultas de Portproxy se envían a la IP de la máquina local y luego se reenvían al host C2 especificado.
El uso de finger.exe para descargar archivos también tiene limitaciones, pero nada que no se pueda superar, ya que codificarlos con Base64 es suficiente para evadir la detección.
Scripts de demostración disponibles
El investigador creó scripts de prueba de concepto (PoC), DarkFinger.py para el C2 y DarkFinger-Agent.bat del lado del cliente, y los publicó públicamente para demostrar cómo funciona la doble funcionalidad de finger.exe.
En un video que muestra cómo funcionan los scripts, Page comparó su método recién descubierto con certutil.exe , otro LoLBin en Windows abusado con fines maliciosos.
Windows Defender detuvo la actividad de certutil y registró el evento, mientras que el script DarkFinger completó la acción sin interrupciones en una máquina con Windows 10:
Un informe de Cisco Talos el año pasado enumeró 13 LoLBins en Windows, pero los investigadores de seguridad encontraron nuevos ejecutables que se ajustan a los requisitos.
Uno de los BleepingComputer más recientes sobre los que se informó no es otro que el antivirus Windows Defender integrado en Windows, que puede descargar archivos arbitrarios utilizando el -DownloadFileargumento de la línea de comandos, agregado en la versión 4.18.2007.9 o 4.18.2009.9.
Otro es " desktopimgdownldr.exe " , un ejecutable presente en el directorio system32 de Windows 10, que forma parte del CSP de personalización para cambiar la pantalla de bloqueo y las imágenes de fondo del escritorio.
Anteriormente, informamos que Microsoft Teams también podría ayudar a un atacante a recuperar y ejecutar malware desde una ubicación remota.
Fuente: https://www.bleepingcomputer.com/
0 Comentarios