Хакеры используют команду Windows Finger для загрузки вредоносов
В ходе кампании злоумышленники отправляют фишинговые письма с вредоносными документами Word, замаскированные под резюме от соискателя.
Киберпреступники используют обычную безобидную команду Windows Finger для загрузки и установки вредоносного бэкдора на устройства жертв.
Команда Finger — созданная в операционных системах Linux/Unix утилита, которая позволяет локально получать список пользователей на удаленном компьютере или информацию о конкретном удаленном пользователе. Помимо Linux, в Windows есть команда finger.exe, которая выполняет те же функции. Для выполнения команды Finger пользователю необходимо ввести finger [user] @ [remote_host].
Исследователь безопасности Кирк Сэйр (Kirk Sayre) обнаружил фишинговую кампанию, в которой использовалась команда Finger для загрузки бэкдора MineBridge. В ходе кампании злоумышленники отправляют фишинговые письма с вредоносными документами Word, замаскированные под резюме от соискателя. Когда пользователь нажимает кнопки «Разрешить редактирование» или «Разрешить содержимое», запускается защищенный паролем макрос для загрузки вредоносного ПО MineBridge.
Макрос использует команду Finger для загрузки сертификата в кодировке Base64 с удаленного сервера. Сертификат представляет собой исполняемый файл вредоносной программы-загрузчика в кодировке base64. Он декодируется с помощью команды certutil.exe, сохраняется как% AppData%\vUCooUr.exe, а затем выполняется.
После запуска вредонос загружает исполняемый файл TeamViewer и использует перехват DLL для загрузки вредоносной библиотеки MineBridge. После загрузки MineBridge удаленные злоумышленники получают полный доступ к компьютеру и могут подслушивать жертву через микрофон зараженного устройства, а также выполнять другие вредоносные действия.
Хакеры используют Windows-команду Finger для загрузки вредоносного кода
Обнаружена спам-рассылка, нацеленная на засев бэкдора MineBridge. Загрузка вредоносного кода в данном случае осуществляется с помощью Windows-команды Finger (finger.exe), обычно используемой для вывода информации о пользователях удаленной системы.
Бэкдор MineBridge впервые засветился на радарах ИБ-экспертов в начале прошлого года. На тот момент он распространялся через вредоносные email-рассылки, ориентированные в основном на финансовые организации США. Цепочка заражения запускалась при открытии вложенного документа Word, замаскированного под резюме соискателя вакансии, и исполнении встроенной макрокоманды.
Новая MineBridge-кампания использует ту же приманку. Прикрепленное к спам-письму «резюме» содержит запароленный макрос, который получателю предлагается запустить вручную.
Преодолев парольную защиту макрокода, эксперты BleepingComputer выяснили, что при запуске он использует команду Finger для загрузки с удаленного сервера исполняемого файла, замаскированного под цифровой сертификат. Содержимое этого файла закодировано по base64 и на поверку оказалось программой-загрузчиком. После расшифровки с помощью Windows-утилиты certutil загрузчик сохраняется в системе как %AppData%\vUCooUr.exe.
Запуск на исполнение зловредного «сертификата» влечет загрузку исполняемого файла TeamViewer. Вредонос также использует технику подмены DLL для загрузки динамической библиотеки MineBridge в память целевого процесса.
Выполнение кода MineBridge обеспечивает злоумышленнику полный доступ к зараженному ПК, позволяя получить информацию о системе управления учетными записями пользователей (UAC), просматривать список запущенных процессов, завершать работу Windows и перезагружать ее, выполнять различные шелл-команды, включать и выключать микрофон TeamViewer, загружать, модифицировать и удалять произвольные файлы.
О возможности злоупотребления finger.exe с целью загрузки вредоносного кода эксперты предупреждали несколько месяцев назад. В настоящее время эта команда редко используется, и сисадминам рекомендуется ее заблокировать — через AppLocker или каким-либо другим способом.
Читайте также
26 мая в Цифровом деловом пространстве (Москва, улица Покровка, дом 47) впервые пройдет «Форум DLP+» – самое масштабное мероприятие в России по внутренним угрозам корпоративной безопасности. Организаторами мероприятия выступят национальный провайдер сервисов и технологий кибербезопасности «Ростелеком-Солар» и Медиа Группа «Авангард». Форум станет первой площадкой страны для обсуждения, обмена идеями и практическим опытом по этой теме.
По задумке организаторов DLP+ будет наполнен нестандартными дискуссиями и выступлениями ярких спикеров – как популярных экспертов рынка информационной безопасности, так и новых, порой неожиданных персон. Экспрессивный тон мероприятию задаст вводная дискуссия «Этика, право и безопасность», управление которой возьмет на себя медиа-звезда рынка информационной безопасности Олег Седов. Приглашенные эксперты, среди которых будут не только специалисты мира ИБ, но и писатели, и представители сферы бизнес-образования, поговорят о понятии этики в современной цифровой действительности.
Что такое этика? Человек, оценивая свои возможные решения, чувствует, какие из них этичны, а какие – не очень, основываясь на морали. Двадцать первый век породил многообразие технических средств контроля и мониторинга людей, в частности системы защиты от утечек и анализа поведения пользователей. Какие вопросы DLP-этики требуют ревизии и пересмотра?
- Как быть с неприкосновенностью частной жизни сотрудников? Тайной переписки?
- Становится ли администратор ИБ всемогущим, и кто контролирует его?
- Как совместить права сотрудников и компании как работодателя?
Деловая программа «Форума DLP+» сфокусируется как на актуальных технологиях, так и на практических методах защиты компании от внутренних угроз, поможет найти конкретные решения под потребности бизнеса. В фойе «Форума DLP+» будут представлены новейшие разработки ведущих вендоров систем защиты от внутренних корпоративных угроз – с возможностью опробовать любую разработку в действии на интерактивных демонстрационных стендах.
Партнерскую поддержку форуму оказывают ведущие компании российской отрасли информационной безопасности InfoWatch, Гарда Технологии, DeviceLock DLP, StaffCop, InfoSecurity, One Identity и другие.
finger finger
Область применения: Windows Server (половина ежегодного канала), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Отображает сведения о пользователях на указанном удаленном компьютере (обычно это компьютер под управлением UNIX), на котором работает служба или управляющая программа Finger. Displays information about users on a specified remote computer (typically a computer running UNIX) that is running the finger service or daemon. Удаленный компьютер указывает формат и выходные данные для вывода сведений о пользователе. The remote computer specifies the format and output of the user information display. При использовании без параметров палец выводит справку. Used without parameters, finger displays help.
Эта команда доступна, только если протокол Internet Protocol (TCP/IP) установлен в качестве компонента в свойствах сетевого адаптера в окне Сетевые подключения. This command is available only if the Internet Protocol (TCP/IP) protocol is installed as a component in the properties of a network adapter in Network Connections.
Синтаксис Syntax
Параметры Parameters
| Параметр Parameter | Описание Description |
|---|---|
| -l -l | Отображает сведения о пользователе в длинном формате списка. Displays user information in long list format. |
| Указывает пользователя, сведения о котором требуется получить. Specifies the user about which you want information. Если параметр User не задан, эта команда отображает сведения обо всех пользователях на указанном компьютере. If you omit the user parameter, this command displays information about all users on the specified computer. | |
| @ | Указывает удаленный компьютер, на котором запущена служба Finger, где вы ищете сведения о пользователе. Specifies the remote computer running the finger service where you are looking for user information. Можно указать имя или IP-адрес компьютера. You can specify a computer name or IP address. |
| /? /? | Отображение справки в командной строке. Displays help at the command prompt. |
Комментарии Remarks
Необходимо Добавить префиксные параметры с дефисом (-), а не косой чертой (/). You must prefix finger parameters with a hyphen (-) rather than a slash (/).
user@host Можно указать несколько параметров. Multiple user@host parameters can be specified.
Can a Car Window Break Your Finger?
Oynatıcı kontrollerini göster
- katma 30 May 2019
- Not sure how much real science happened, but with pretty high confidence I suggest not crushing your finger in a car window.
Support us on Patreon: www.patreon.com/williamosman
Website: www.williamosman.com/
InstaHam: crabsandscience
Twitter: CrabsAndScience
Facebook: williamosmanscience/
CameraManJohn: cameraman_john
Modern Rogue video: trclips.com/video/ME7U5XFzrZU/video.html
Papers referenced:
«Can Wood be used as a Bio-mechanical Substitute for Bone during Evaluation of Surgical Machining Tools?» — Andrew Naylor
«Finger injuries caused by power-operated windows of motor vehicles: An experimental cadaver study.» — Hohendorff 
Bilim ve Teknoloji
Bilim ve TeknolojiYORUMLAR • 69
that’s bobby duke’s hat lmaoo
0:03 i like how you are pretending to be in a moving car
Him Hey do you member when you are nine and really dumb
Me h how dare you I am nine and I am really smart for me I think you need two
A window cannot cut your finger off because my parents did it didn’t even realise it just took a lot of my skin of the finger off can you sure it was all my fingers I actually don’t remember because I was like five
As if this could have made my anxiety any worse than it already was about car windows
I don’t need sleep I need answers
William: Do you remember when you were nine
Me: In A year thats the age im gonna be
New fear unlocked car window
I almost cut my arm off
My friend got there finger broken so bad because of something like this that now Her finger can bend both ways
Id say thats a good thing that they didnt have that kind of safety system. If someone you dont like tries to stick their hand in you can hurt them a little by doing that till they stop
I got my finger stuck in the car window crying while my finger was purple why we went into the restaurant to eat my dad opened up the window finally-
Bro I’m literally nine you call me dum👈 maybe I am dum I’m not sure if that’s how you spell dumb this is how
That’s mean. I AM 9!!
Are we all gonna ignor what that first jello mold looked like lol XD
My mom’s car literally detects if anything is on top of the car window it doesn’t close
I’d already try to get hit by the window is really hurt and I can bend my finger thanks to the window.
My question is: How the fuck did he get a real human finger?
TRclips. Definitely didn’t demonitize this video i got 6 ads in total god damnit
I’m nine thanks for calling me dumb
My finger was stuck in a 100 pound door, it didn’t break. just bended.
It’s also called a compound fracture
No I did this with my real finger and it didn’t break it just heat
YEs its painfull but my finger is okay
i did that once it just hurt a little
That finger do be sus. ✨
That finger do be sus. ✨
I shall give you lot more information on whether the boot of a car can break your fingers
2 things can happen:
1. Your lucky like me and manage to get your fingers in the right position where it won’t break but hurt
2. If your also unlucky like me [I got my fingers caught twice , yes] the boot will crush your poor fingers and you will be sat there in pain almost as if a bread knife was stuck in your fingers and then someone pulled your poor fingers and violently shook them till they came off. I was stuck feeling this pain for 2 and a half minutes.
I’ve had my finger in a car window It hurts like crazy and my finger got stuck and the window jammed so it was painful for a while until my finger was out.
«Remember when you were 9 and were really dumb?»
Me: it never stopped
Bruh I had a car door + toilet door on 2 of my fingers
