Comando Finger de Windows Utilizado para Entregar el Backdoor MineBridge
Tabla de contenidos:
Los actores de amenazas buscan constantemente nuevas formas de eludir las restricciones de seguridad de Windows y distribuir malware en la red objetivo. Los ejecutables nativos de Windows, conocidos como LoLbins, se están utilizando frecuentemente para este propósito. Recientemente, la función Finger de Windows se agregó a esta lista ya que los hackers la abusaron para la entrega del backdoor MineBridge.
Windows Finger Abusado for Malware
La función Finger es un comando nativo de Windows utilizado para obtener información sobre los usuarios de sistemas remotos. Sin embargo, los investigadores de seguridad identificaron un método engañoso para convertir Finger en un cargador de archivos y servidor C&C para la exfiltración de datos. Específicamente, los comandos maliciosos podrían disfrazarse como consultas de Finger que recuperan archivos y extraen datos sin alertar a los mecanismos antivirus. El principal obstáculo para la explotación en masa es que el protocolo Finger depende del puerto 79 que típicamente está bloqueado. No obstante, un hacker privilegiado podría superar las restricciones mediante redirección de puertos Portproxy de Windows NetSh para el protocolo TCP. Aunque los exploits de prueba de concepto (PoC) se desarrollaron y publicaron en septiembre de 2020, los hackers explotaron la función Finger en el terreno solo en enero de 2021.
Minebridge Backdoor Entregado a través de Windows Finger
La primera operación cibercriminal identificaron para abusar del comando Finger de Windows fue dirigida a la entrega del backdoor MineBridge. Esta variante de malware surgió a principios de 2020 y se utilizó activamente para apuntar a instituciones financieras de EE.UU. y Corea del Sur. La infección suele comenzar con un correo electrónico de phishing que tiene un archivo de Word malicioso adjunto. El documento se disfraza como una solicitud de empleo y, una vez abierto, instala el backdoor a través de macros maliciosos.
La cadena de ataque sigue siendo la misma para la última campaña de MineBridge. Sin embargo, en este caso, los macros ejecutan un comando específico que depende de Finger para lanzar un cargador de malware codificado en Base64. Este cargador despliega TeamViewer en el dispositivo infectado y aplica secuestro de DLL para instalar el backdoor MineBridge. Tras la instalación, el backdoor proporciona acceso remoto completo al sistema de la víctima, permitiendo a los hackers instalar malware adicional, ejecutar archivos arbitrarios, obtener información del sistema, y más.
Detección de Ataque Finger de Windows
Para detectar actividad maliciosa asociada con el abuso de Windows Finger, puedes descargar una nueva regla Sigma del equipo de SOC Prime:
https://tdm.socprime.com/tdm/info/Xcv0Zufcww1J/3aG-FXcBmo5uvpkjnEb8/
La regla tiene traducciones a las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
Tácticas: Ejecución, Evasión de Defensa
Técnicas: Ejecución de Proxy Binario Firmado (T1218)
En caso de que no tengas acceso pagado al Threat Detection Marketplace, puedes activar tu prueba gratuita bajo una suscripción comunitaria para desbloquear la regla Sigma relacionada con la prevención del abuso de Windows Finger.
Regístrate en el Threat Detection Marketplace de forma gratuita y amplía tus capacidades de detección de amenazas alcanzando nuevos ítems de contenido SOC cada día. ¿Deseas crear tus propias reglas Sigma? Únete a nuestra comunidad de Threat Bounty y contribuye a las iniciativas de caza de amenazas.
