On yıllık geçmişe sahip olan “finger” komutu, siber saldırganlar tarafından bir kez daha kullanılmaya başlandı. Bu eski protokol, Windows cihazlarındaki uzaktan komutları almak için istismar ediliyor.
Finger Protokolünün Tarihçesi
Geçmişte, kullanıcılar Unix ve Linux sistemlerinde yerel ve uzaktan kullanıcı bilgilerini sorgulamak için finger komutunu kullanıyordu. Daha sonra bu komut, Windows’a da eklendi. Günümüzde hala desteklense de, önceki popülaritesine oranla oldukça az kullanılıyor.
Finger komutu çalıştırıldığında, bir kullanıcının giriş adı, adı (varsa /etc/passwd dosyasındaki ayar), ana dizini, telefon numaraları ve en son erişim zamanı gibi temel bilgileri geri döner.
MalwareHunterTeam Uyarıları
Son zamanlarda, Finger protokolünü kötüye kullanan kampanyaların olduğu bildirildi. Bu kampanyalardan biri, ClickFix saldırıları olarak bilinen bir tür saldırı. Bu saldırılar, uzaktan komutları almak için finger komutunu kullanıyor.
2020 yılında yapılan bir araştırma, finger komutunun bir LOLBIN (Legitimate On-Load Binary) olarak kullanıldığını ve kötü amaçlı yazılım indirmeyi başardığını ortaya koymuştu.
Finger Komutunun Kötüye Kullanımı
Son olarak, siber güvenlik araştırmacısı MalwareHunterTeam, bir komut dosyası paylaştı. Bu dosya çalıştırıldığında, “finger [email protected][.]com” komutunu kullanarak uzaktan bir finger sunucusundan komutlar alıyor ve bunları cmd.exe aracılığıyla yerel olarak çalıştırıyordu.
O sunucu artık erişilemez durumda, ancak MalwareHunterTeam, finger komutunu kullanan daha fazla kötü amaçlı yazılım örneği ve saldırı buldu.
Bir Reddit kullanıcısı, ClickFix saldırısına kurban gittiğini ve kendisini insan olarak doğrulamak için bir Windows komutunu çalıştırmaya zorlandığını bildirdi.
Bu saldırıda finger protokolü, uzaktan komut teslim yöntemi olarak kullanılıyor. “finger [email protected][.]org” komutu çalıştırıldığında, geri dönen komutlar yerel olarak çalıştırılıyor ve zararlı yazılım indirmek için yollar oluşturuluyor.
Saldırının Tekniği
Saldırı, kullanıcının cmd penceresine belirli komutlar girilmesini sağlıyor. Bu komutlar, kullanıcının başka bir dosya indirmesine yol açan bir Python paketini çalıştırıyor.
Sonuç olarak, bu saldırı kötü niyetli bir sunucuya geri dönüş yapıyor ve kullanıcının haberi olmadan gizli bir işlemi başlatıyor. Ancak bu tür saldırılardan korunmak için en etkili yöntem, TCP port 79’u kullanarak giden trafiğin engellenmesidir. Bu port, finger protokolü üzerinden bir daemon ile bağlantı kurmak için kullanılır.
Sonuç olarak, finger komutunun kötüye kullanımı, siber güvenlik alanında ciddi bir tehdit oluşturuyor. Bilgilerinizi korumak ve bu tür saldırılardan uzak durmak için dikkatli olmanız ve her zaman güncel kalmanız gerekiyor.
