Cómo usar el comando “finger” de Windows 10 para descargar o robar archivos

La lista de ejecutables nativos en Windows que pueden descargar o ejecutar código malicioso sigue creciendo, ya que se ha informado de otro recientemente.

Estos se conocen como living-off-the-land binaries (LoLBins) y pueden ayudar a los atacantes a evadir los controles de seguridad para buscar malware. La acción la realizan sin activar una alerta de seguridad en el sistema.

Funciona para descargar y exfiltrar datos

La última incorporación es finger.exe. Este es un comando que viene con Windows para recuperar información sobre usuarios en computadoras remotas que ejecutan el servicio o demonio Finger. La comunicación se realiza a través del protocolo de comunicación de red Name/Finger.

El investigador de seguridad John Page descubrió que el comando Finger TCPIP de Microsoft Windows también puede funcionar como un descargador de archivos. También como un servidor de comando y control (C2) improvisado que puede servir para enviar comandos y exfiltrar datos.

Según el investigador, los comandos C2 se pueden enmascarar como consultas de finger que recuperan archivos y exfiltran datos. Todo esto sin que Windows Defender detecte la actividad anómala.

Un problema podría ser que el puerto 79, utilizado por el protocolo Finger, a menudo está bloqueado dentro de una organización. Esto según la información en una publicación en su sitio el viernes.

Sin embargo, un atacante con suficientes privilegios puede evadir la restricción utilizando Windows NetSh Portproxy. NetSh Portproxy actúa como un redirector de puertos para el protocolo TCP.

Este método permitiría evadir las reglas de firewall y comunicarse con los servidores a través de los puertos no restringidos para HTTP (S). De esta manera, las consultas de Portproxy se envían a la IP de la máquina local y luego se reenvían al host C2 especificado.

El uso de finger.exe para descargar archivos también tiene limitaciones, pero nada que no se pueda superar. Codificarlos con Base64 es suficiente para evadir la detección.

Scripts y demostración:

Este contenido se encuentra parcialmente protegido

Disponible completamente solo para usuarios con membresía Wiser Elite
Adquiere tu mebresía aquí.

Deja un comentario