Command Windows Finger Utilisé à Mauvais Escient pour Déployer le Cheval de Troie MineBridge
Table des matières :
Les acteurs malveillants cherchent constamment de nouvelles façons de contourner les restrictions de sécurité de Windows et de déposer des logiciels malveillants sur le réseau ciblé. Les exécutables natifs de Windows, connus sous le nom de LoLbins, sont souvent détournés à cette fin. Récemment, la fonctionnalité Finger de Windows a été ajoutée à cette liste puisque des pirates l’ont utilisée pour la livraison du cheval de Troie MineBridge.
Windows Finger Détourné for Logiciel malveillant
La fonctionnalité Finger est une commande native de Windows utilisée pour obtenir des informations sur les utilisateurs de systèmes distants. Cependant, des chercheurs en sécurité ont identifié une méthode astucieuse pour convertir Finger en un chargeur de fichiers et un serveur C&C pour l’exfiltration de données. Plus précisément, les commandes malveillantes pourraient être déguisées en requêtes Finger qui récupèrent des fichiers et dumpent des données sans alerter les mécanismes antivirus. Le principal obstacle à une exploitation massive est le protocole Finger qui repose sur le port 79, généralement bloqué. Néanmoins, un pirate privilégié pourrait surmonter les restrictions via la redirection de port Windows NetSh Portproxy pour le protocole TCP. Bien que les exploits de preuve de concept (PoC) aient été développés et publiés en septembre 2020, les pirates ont exploité la fonctionnalité Finger dans la nature seulement en janvier 2021.
Minebridge Cheval de Troie Distribué via Windows Finger
La première opération cybercriminelle ont identifié à détourner la commande Finger de Windows visait la livraison du cheval de Troie MineBridge. Cette souche de logiciel malveillant est apparue au début de 2020 et a été activement utilisée pour cibler les institutions financières américaines et sud-coréennes. L’infection commence généralement par un e-mail de phishing avec un fichier Word malveillant en pièce jointe. Le document se fait passer pour une demande d’emploi et, une fois ouvert, installe le cheval de Troie via des macros malveillantes.
La chaîne d’attaque reste la même pour la dernière campagne MineBridge. Cependant, dans ce cas, les macros exécutent une commande spécifique qui repose sur Finger pour lancer un chargeur de logiciel malveillant encodé en Base64. Ce chargeur dépose TeamViewer sur l’appareil infecté et applique le détournement de DLL pour installer le cheval de Troie MineBrige. Une fois installé, le cheval de Troie fournit un accès à distance complet au système de la victime, permettant aux pirates d’installer d’autres logiciels malveillants, d’exécuter des fichiers arbitraires, de récupérer des informations système et plus encore.
Détection d’attaque Windows Finger
Pour détecter toute activité malveillante associée à l’utilisation détournée de Windows Finger, vous pouvez télécharger une règle Sigma fraîche de l’équipe SOC Prime :
https://tdm.socprime.com/tdm/info/Xcv0Zufcww1J/3aG-FXcBmo5uvpkjnEb8/
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR : Microsoft Defender ATP, Carbon Black
MITRE ATT&CK :
Tactiques : Exécution, Évasion de la Défense
Techniques : Exécution de proxy binaire signé (T1218)
Si vous n’avez pas accès payant à la Threat Detection Marketplace, vous pouvez activer votre essai gratuit sous un abonnement communautaire pour débloquer la règle Sigma liée à la prévention de l’utilisation détournée de Windows Finger.
Inscrivez-vous à la Threat Detection Marketplace gratuitement et étendez vos capacités de détection des menaces en accédant aux nouveaux éléments de contenu SOC publiés chaque jour. Vous souhaitez créer vos propres règles Sigma ? Rejoignez notre communauté Threat Bounty et contribuez aux initiatives de chasse aux menaces !
