Comando Finger do Windows Utilizado Indevidamente para Entregar o Backdoor MineBridge
Índice:
Os atores de ameaças estão constantemente à procura de novas maneiras de contornar as restrições de segurança do Windows e introduzir malware na rede alvo. Executáveis nativos do Windows, conhecidos como LoLbins, estão sendo frequentemente usados indevidamente para esse propósito. Recentemente, a funcionalidade Windows Finger foi adicionada a essa lista, pois hackers a abusaram para a entrega do backdoor MineBridge.
Windows Finger Usado indevidamente for Malware
O recurso Finger é um comando nativo do Windows usado para obter informações sobre usuários de sistemas remotos. No entanto, pesquisadores de segurança identificaram um método astuto para converter o Finger em um carregador de arquivos e servidor C&C para exfiltração de dados. Especificamente, os comandos maliciosos podem ser disfarçados como consultas Finger que recuperam arquivos e despejam dados sem alertar os mecanismos de antivírus. O principal obstáculo para a exploração em massa é o protocolo Finger, que depende da porta 79, geralmente bloqueada. No entanto, um hacker privilegiado pode superar as restrições por meio da redireção de porta do Windows NetSh Portproxy para o protocolo TCP. Embora as provas de conceito (PoC) tenham sido desenvolvidas e publicadas em setembro de 2020, hackers exploraram a funcionalidade Finger em campo apenas em janeiro de 2021.
Minebridge Backdoor Entregue via Windows Finger
A primeira operação cibercriminoso identificaram a usar indevidamente o comando Windows Finger foi destinada à entrega do backdoor MineBridge. Essa variante de malware surgiu no início de 2020 e foi utilizada ativamente para atingir instituições financeiras dos EUA e Coreia do Sul. A infecção normalmente começa com um e-mail de phishing que possui um arquivo do Word malicioso anexado. O documento se disfarça como uma aplicação de emprego e, uma vez aberto, instala o backdoor através de macros maliciosos.
A cadeia de ataque permanece a mesma para a campanha mais recente do MineBridge. No entanto, neste caso, as macros executam um comando específico que depende do Finger para lançar um carregador de malware codificado em Base64. Este carregador instala o TeamViewer no dispositivo infectado e aplica o sequestro de DLL para instalar o backdoor MineBrige. Após a instalação, o backdoor fornece acesso remoto total ao sistema da vítima, permitindo que hackers instalem malware adicional, executem arquivos arbitrários, obtenham informações do sistema e mais.
Detecção de Ataques do Windows Finger
Para detectar atividades maliciosas associadas ao uso indevido do Windows Finger, você pode baixar uma nova regra Sigma da equipe SOC Prime:
https://tdm.socprime.com/tdm/info/Xcv0Zufcww1J/3aG-FXcBmo5uvpkjnEb8/
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
Táticas: Execução, Evasão de Defesa
Técnicas: Execução de Binário Assinado por Proxy (T1218)
Caso você não tenha acesso pago ao Threat Detection Marketplace, pode ativar sua avaliação gratuita sob uma assinatura comunitária para desbloquear a regra Sigma relacionada à prevenção de uso indevido do Windows Finger.
Inscreva-se no Threat Detection Marketplace gratuitamente e amplie suas capacidades de detecção de ameaças alcançando novos itens de conteúdo do SOC lançados todos os dias. Deseja criar suas próprias regras Sigma? Junte-se à nossa comunidade Threat Bounty e contribua para iniciativas de caça de ameaças!
