Windows Fingerコマンドが悪用されてMineBridgeバックドアを配信

脅威アクターは常に、Windowsのセキュリティ制限を回避してターゲットネットワークにマルウェアを配布する新しい方法を模索しています。LoLbinsとして知られるネイティブWindows実行ファイルは、この目的で頻繁に悪用されています。最近では、ハッカーがMineBridgeバックドアを配信するために悪用したことから、Windows Finger機能がこのリストに追加されました。

Windows Finger 悪用された for マルウェア

Finger機能は、リモートシステムのユーザーに関する情報を取得するためのネイティブなWindowsコマンドです。しかし、セキュリティ研究者は 特定しました Fingerをファイルローダーおよびデータの外方向けのC＆Cサーバーに変換するための巧妙な方法を。具体的には、悪意のあるコマンドがFingerクエリとして偽装され、ウイルス対策メカニズムに警告を発することなくファイルを取得し、データをダンプする可能性があります。大規模な悪用の主要な障害は、通常ブロックされるポート79に依存するFingerプロトコルです。それにもかかわらず、特権を持つハッカーは、Windows NetSh PortproxyのTCPプロトコル用のポートリダイレクションを介して制限を超えるかもしれません。概念実証（PoC）エクスプロイトは2020年9月に開発され、公開されましたが、ハッカーが実環境でFinger機能を悪用したのは2021年1月のことでした。

Minebridge バックドア Windows Finger経由で配布

Windows Fingerコマンドを悪用する最初のサイバー犯罪作戦は、MineBridgeバックドアの配信を目的としていました。この 特定しました to misuse the Windows Finger command was aimed at MineBridge backdoor delivery. This マルウェアストレインは、 2020年の初めに出現し、米国と韓国の金融機関を標的とするために積極的に使用されました。感染は通常、悪意のあるWordファイルが添付されたフィッシングメールから始まります。ドキュメントはジョブアプリケーションとして偽装されており、開かれると、悪意のあるマクロを介してバックドアをインストールします。

攻撃チェーンは最新のMineBridgeキャンペーンでも同様です。ただし、この場合、マクロはFingerに依存してBase64エンコードされたマルウェアローダーを起動する特定のコマンドを実行します。このローダーは感染したデバイスにTeamViewerをドロップし、DLLハイジャックを適用してMineBridgeバックドアをインストールします。インストール後、バックドアは被害者のシステムに完全なリモートアクセスを提供し、ハッカーが追加のマルウェアをインストールしたり、任意のファイルを実行したり、システム情報を取得したりすることができます。

Windows Finger攻撃の検出

Windows Fingerの悪用に関連する悪意のある活動を検出するには、SOC Primeチームから最新のSigmaルールをダウンロードできます：

https://tdm.socprime.com/tdm/info/Xcv0Zufcww1J/3aG-FXcBmo5uvpkjnEb8/ 

ルールは以下のプラットフォーム向けに翻訳されています：

SIEM：Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、LogPoint、Humio、RSA NetWitness

EDR：Microsoft Defender ATP、Carbon Black

MITRE ATT&CK：

戦術：実行、回避

テクニック：署名済みバイナリプロキシ実行 (T1218)

Threat Detection Marketplaceの有料アクセスがない場合、Windows Fingerの悪用防止に関連するSigmaルールをアンロックするためのコミュニティサブスクリプションで無料トライアルをアクティベートすることができます。

Threat Detection Marketplaceに無料で登録し、毎日リリースされる新しいSOCコンテンツアイテムにアクセスして脅威検出能力を拡大しましょう。自分のSigmaルールを作成することを望んでいますか？ to the Threat Detection Marketplace for free and expand your threat detection capabilities by reaching new SOC content items released every day. Have a desire to create your own Sigma rules? 参加 して、脅威ハンティングのイニシアティブに貢献しましょう！