윈도우 10 'Finger' 명령어, 파일 다운로드 및 탈취에 악용 가능해

Windows 10 ‘Finger’ command can be abused to download or steal files

 

악성코드를 다운로드 또는 실행할 수 있는 윈도우의 기본 실행파일이 점점 더 많이 발견되고 있습니다.

 

이는 LoLBins(living-off-the-land binaries)로 알려져 있으며 공격자가 시스템에 보안 경고를 울리지 않고도 보안 장치를 우회할 수 있도록 합니다.

 

다운로드 및 추출 작업

가장 최근 알려진 방법은 Finger 서비스 또는 데몬을 실행 중인 원격 컴퓨터에서 사용자에 대한 정보를 받아오기 위해 윈도우에 내장된 명령인 Finger.exe를 이용하는 것입니다. 커뮤니케이션은 Name/Finger 네트워크 통신 프로토콜을 통해 이루어집니다.

 

보안 연구원인 John Page는 마이크로소프트 윈도우 TCPIP Finger 명령이 파일 다운로더와 명령어를 전송하고 데이터를 추출할 수 있는 임시 명령 및 제어 서버(C2) 역할을 할 수 있다는 사실을 발견했습니다.

 

연구원에 따르면 파일을 가져오고 데이터를 추출하는 Finger의 쿼리가 윈도우 디펜더에 탐지되지 않기 때문에 C2 명령이 마스킹 될 수 있는 것으로 나타났습니다.

 

한 가지 문제는 Finger 프로토콜이 사용하는 포트 79가 종종 조직 내에서 차단된다는 것입니다.

 

하지만 권한이 부족한 공격자라도 TCP 프로토콜의 포트 리디렉터 역할을 하는 윈도우 NetSh Portproxy를 통해 제한을 우회할 수 있습니다.

 

이 방법을 통해 방화벽 룰을 우회하고 HTTPS에 제한되지 않은 포트를 통해 서버와 통신할 수 있게 됩니다.

 

이로써 Portproxy 쿼리는 로컬 머신 IP로 전달되어 특정 C2 호스트로 포워딩됩니다.

 

Finger.exe를 통해 파일을 다운로드하는 것에도 제한이 있지만 Base64로 인코딩하는 것만으로도 탐지를 피할 수 있으므로 극복이 불가능한 것은 없다고 볼 수 있습니다.

 

데모 스크립트 공개돼

 

연구원은 Finger.exe의 또 다른 기능을 설명하기 위한 PoC 스크립트를 제작해 공개했습니다. DarkFinger.py는 C2용 DarkFinger-Agent.bat는 클라이언트용입니다.

 

Page는 스크립트 작동 방식을 시연하는 영상에서 Finger.exe를 그가 발견한 또 다른 LoLBin인 certutil.exe와 비교했습니다.

 

윈도우 디펜더는 certutil 활동을 중지시키고 이벤트를 로깅했으나 DarkFinger 스크립트는 윈도우 10 환경에서 방해 받지 않은 채 임무를 완료합니다.

 

시연 영상은 여기에서 확인하실 수 있습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/windows-10-finger-command-can-be-abused-to-download-or-steal-files/