Finger-Befehl in Windows zum Ausliefern der MineBridge Backdoor missbraucht
Inhaltsverzeichnis:
Bedrohungsakteure suchen ständig nach neuen Wegen, um Windows-Sicherheitsbeschränkungen zu umgehen und Malware in das Zielnetzwerk einzuschleusen. Native Windows-Programme, bekannt als LoLbins, werden häufig für diesen Zweck missbraucht. Kürzlich wurde die Windows Finger-Funktion in diese Liste aufgenommen, da Hacker sie für die Lieferung des MineBridge-Hintertürprogramms missbraucht hatten.
Windows Finger Missbraucht for Malware
Die Finger-Funktion ist ein nativer Windows-Befehl, mit dem Informationen über Benutzer entfernter Systeme abgerufen werden können. Allerdings haben Sicherheitsforscher eine geschickte Methode identifiziert um Finger in einen Dateiloader und ein C&C-Server zur Datenexfiltration umzuwandeln. Speziell könnten die bösartigen Befehle als Finger-Abfragen getarnt sein, die Dateien abrufen und Daten abwerfen, ohne Antivirenmechanismen auszulösen. Das Haupthindernis für die massenhafte Ausbeutung ist das Finger-Protokoll, das auf Port 79 angewiesen ist, der typischerweise blockiert ist. Ein privilegierter Hacker könnte jedoch die Beschränkungen über Windows NetSh Portproxy-Portweiterleitung für das TCP-Protokoll überwinden. Obwohl der Proof-of-Concept (PoC) Exploit im September 2020 entwickelt und veröffentlicht wurde, nutzten Hacker die Finger-Funktion in freier Wildbahn erst im Januar 2021 aus.
Minebridge Hintertür Über Windows Finger geliefert
Die erste kriminelle Cyber-Operation eine geschickte Methode identifiziert zum Missbrauch des Windows Finger-Befehls war auf die Lieferung der MineBridge-Hintertür ausgerichtet. Diese Malware-Variante tauchte Anfang 2020 auf und wurde aktiv genutzt, um Finanzinstituten in den USA und Südkorea anzugreifen. Die Infektion beginnt normalerweise mit einer Phishing-E-Mail, die eine bösartige Word-Datei angehängt hat. Das Dokument tarnt sich als Bewerbung und installiert nach dem Öffnen die Hintertür über bösartige Makros.
Die Angriffskette bleibt für die neueste MineBridge-Kampagne dieselbe. In diesem Fall führen Makros jedoch einen spezifischen Befehl aus, der auf Finger angewiesen ist, um einen Base64-codierten Malware-Loader zu starten. Dieser Loader bringt TeamViewer auf das infizierte Gerät und wendet DLL-Hijacking an, um die MineBridge-Hintertür zu installieren. Nach der Installation bietet die Hintertür vollständigen Fernzugriff auf das System des Opfers, sodass Hacker zusätzliche Malware installieren, beliebige Dateien ausführen, Systeminformationen abrufen und mehr tun können.
Windows Finger Angriffserkennung
Um bösartige Aktivitäten im Zusammenhang mit dem Missbrauch von Windows Finger zu erkennen, können Sie eine aktuelle Sigma-Regel von dem SOC Prime-Team herunterladen:
https://tdm.socprime.com/tdm/info/Xcv0Zufcww1J/3aG-FXcBmo5uvpkjnEb8/
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
Taktiken: Ausführung, Umgehung von Verteidigungsmaßnahmen
Techniken: Signierte Binäre Proxy-Ausführung (T1218)
Falls Sie keinen bezahlten Zugang zum Threat Detection Marketplace haben, können Sie Ihre kostenlose Testversion mit einem Community-Abonnement aktivieren, um die mit dem Windows Finger-Missbrauchsverhinderung verbundenen Sigma-Regeln zu entsperren.
Melden Sie sich an im Threat Detection Marketplace kostenlos an und erweitern Sie Ihre Bedrohungserkennungsfähigkeiten, indem Sie jeden Tag neue SOC-Inhalte erreichen. Möchten Sie Ihre eigenen Sigma-Regeln erstellen? Treten Sie bei unserer Threat Bounty-Community und tragen Sie zu Bedrohungsjagd-Initiativen bei!
