Comando Finger di Windows Utilizzato per Distribuire il Backdoor MineBridge
Indice:
Gli attori delle minacce cercano costantemente nuovi modi per eludere le restrizioni di sicurezza di Windows e diffondere malware nella rete mirata. Gli eseguibili nativi di Windows, noti come LoLbins, vengono frequentemente abusati per questo scopo. Recentemente, la funzione Windows Finger è stata aggiunta a questo elenco poiché gli hacker l’hanno sfruttata per la consegna del backdoor MineBridge.
Windows Finger Abusata for Malware
La funzione Finger è un comando nativo di Windows utilizzato per ottenere informazioni sugli utenti di sistemi remoti. Tuttavia, i ricercatori di sicurezza hanno identificato un metodo astuto per convertire Finger in un caricatore di file e server C&C per l’esfiltrazione di dati. Nello specifico, i comandi dannosi potrebbero essere mascherati come query Finger che recuperano file e scaricano dati senza allertare i meccanismi antivirus. L’ostacolo principale allo sfruttamento di massa è il protocollo Finger che si basa sulla porta 79 solitamente bloccata. Tuttavia, un hacker privilegiato potrebbe superare le restrizioni tramite il reindirizzamento delle porte di Windows NetSh Portproxy per il protocollo TCP. Sebbene i proof-of-concept (PoC) siano stati sviluppati e pubblicati nel settembre 2020, gli hacker hanno sfruttato la funzione Finger in natura solo nel gennaio 2021.
Minebridge Backdoor Consegnato tramite Windows Finger
La prima operazione di criminalità informatica hanno identificato per abusare del comando Windows Finger era mirata alla consegna del backdoor MineBridge. Questa variante di malware è emersa all’inizio del 2020 ed è stata utilizzata attivamente per colpire istituzioni finanziarie negli Stati Uniti e in Corea del Sud. L’infezione inizia solitamente con un’email di phishing che contiene un file Word dannoso in allegato. Il documento si maschera da domanda di lavoro e, una volta aperto, installa il backdoor tramite macro dannose.
La catena di attacco rimane la stessa per l’ultima campagna MineBridge. Tuttavia, in questo caso, le macro eseguono un comando specifico che si affida a Finger per lanciare un caricatore di malware codificato Base64. Questo caricatore installa TeamViewer sul dispositivo infetto e utilizza l’hijacking della DLL per installare il backdoor MineBridge. Dopo l’installazione, il backdoor fornisce completo accesso remoto al sistema della vittima, permettendo agli hacker di installare malware aggiuntivo, eseguire file arbitrari, raccogliere informazioni di sistema e altro.
Rilevazione di attacco tramite Windows Finger
Per rilevare attività dannose associate all’abuso di Windows Finger, puoi scaricare una nuova regola Sigma dal team SOC Prime:
https://tdm.socprime.com/tdm/info/Xcv0Zufcww1J/3aG-FXcBmo5uvpkjnEb8/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
Tattiche: Esecuzione, Evasione delle Difese
Tecniche: Esecuzione Proxy con Binari Firmati (T1218)
Nel caso in cui non disponi di un accesso a pagamento al Threat Detection Marketplace, potresti attivare la tua prova gratuita sotto un abbonamento community per sbloccare la regola Sigma relativa alla prevenzione dell’abuso di Windows Finger.
Iscriviti al Threat Detection Marketplace gratuitamente ed espandi le tue capacità di rilevamento delle minacce accedendo a nuovi elementi di contenuto SOC rilasciati ogni giorno. Hai il desiderio di creare le tue regole Sigma? Unisciti alla nostra comunità di Threat Bounty e contribuisci alle iniziative di Caccia alla Minaccia!
