ClickFix攻击仍在利用Finger协议(2025年12月13日星期六)
严重性:中等 类型:漏洞
ClickFix攻击活动继续利用陈旧的finger协议,通过名为KongTuke和SmartApeSG的社会工程学活动投递恶意负载。这些攻击利用Windows的finger.exe工具,通过TCP 79端口查询恶意服务器,检索编码的PowerShell命令或脚本并在受害者机器上执行。尽管拥有严格代理规则、能够阻断TCP 79端口的企业环境可以缓解此类攻击,但允许finger协议流量的网络仍然面临风险。这些活动使用虚假的验证码(CAPTCHA)页面诱骗受害者运行这些脚本,随后脚本会下载并执行更多恶意内容。这种技术让一个过时的协议在现代攻击投递中“复活”,绕过了部分传统的检测方法。网络出口过滤限制较少或仍运行finger.exe的遗留系统的欧洲组织面临风险。防御者应监控异常的finger.exe活动,并在可能的情况下阻断TCP 79端口的流量。
AI分析
技术摘要
自2025年11月以来,ClickFix社会工程学活动背后的威胁行为者(特别是KongTuke和SmartApeSG)一直在滥用finger协议投递恶意负载。finger协议是一种运行在端口79上的、基于TCP的陈旧服务,在此被用作从攻击者控制的服务器检索命令和脚本的隐蔽通道。攻击涉及受害者与虚假验证码页面交互,触发调用Windows系统上finger.exe的脚本。该工具向诸如 captchaver[.]top 和 pmidpils[.]com 等恶意域名发送查询,这些域名会返回包含Base64编码的PowerShell命令或脚本的文本。这些命令随后在受害者机器上执行,实现进一步的危害。使用Wireshark等工具进行网络流量分析,可以揭示通过TCP 79端口的finger协议流量,这在现代企业环境中并不常见。这些活动已持续一个多月,表明攻击仍在进行中。强制执行显式代理或阻断TCP 79端口流量的企业环境能够有效破坏这些攻击。然而,允许finger.exe进行出站连接的环境仍然脆弱。此攻击载体利用了极少被监控或阻断的遗留协议,使得攻击者能够绕过部分安全控制措施。除了这些活动外,缺乏已知的在野漏洞利用,这表明活动是定向的或范围有限,但其技术的持续性和隐蔽性值得关注。社会工程学与遗留协议滥用的结合,突显了进行全面网络监控和端点行为分析的必要性。
潜在影响
对于欧洲组织而言,其影响包括可能导致未经授权的恶意代码执行,引发系统沦陷、数据外泄或在网络内横向移动。拥有遗留系统或允许TCP 79端口出站流量的组织风险尤其高。通过虚假验证码页面使用社会工程学手段增加了用户交互的可能性,可能导致初始感染载体。如果攻击成功,攻击者可能部署额外的恶意软件或勒索软件负载、干扰运营或窃取敏感信息。使用finger.exe和finger协议的隐蔽性可能逃避专注于HTTP/S或常见端口的传统检测机制,从而增加驻留时间并使事件响应复杂化。金融、医疗保健和关键基础设施等高监管要求的行业若被攻陷,可能面临合规违规和声誉损害。然而,具有严格网络出口过滤和代理执行措施的组织受到影响的可能性较低。中等严重性反映了中等程度的可利用性,以及防御不足时可能产生的重大运营影响。
缓解建议
- 在网络边界防火墙和代理处明确阻断TCP 79端口出站流量,以防止finger协议通信。
- 在Windows端点上禁用或限制使用finger.exe,特别是如果业务运营不需要此工具。
- 实施端点检测规则,对finger.exe的执行或调用finger查询的异常命令行参数发出警报。
- 监控网络流量中的TCP 79端口活动,并调查任何异常或与可疑域名的连接。
- 教育用户关于社会工程学策略,特别是虚假验证码页面,以减少执行恶意脚本的可能性。
- 采用应用程序白名单策略,防止未经授权执行通过此载体投递的PowerShell脚本或其他负载。
- 使用DNS过滤来阻断对已知恶意域名(如 captchaver[.]top 和 pmidpils[.]com)的访问。
- 定期更新和修补端点安全解决方案,以检测和阻断编码的PowerShell负载。
- 开展威胁狩猎练习,重点关注遗留协议滥用和异常的出站连接。
- 审查并收紧代理和出口过滤策略,以涵盖像finger这样的非常用协议。
受影响国家
德国、法国、英国、荷兰、意大利、西班牙、波兰
来源:SANS ISC Handlers 日记 发布时间:2025年12月13日星期六