- “Parmak” komutu, yıllar süren kullanımdan sonra bile uzaktan kod yürütme için kullanılabilir olmaya devam ediyor
- Saldırganlar, sunucu yanıtlarını doğrudan Windows komut oturumlarına yönlendirmek için toplu komut dosyaları kullanır
- Gizli Python programları, zararsız belgeler gibi görünen arşivler aracılığıyla sunulur
Parmak komutu, başlangıçta Unix’te ve daha sonra Windows’ta uzak veya yerel sistem kullanıcıları hakkında temel bilgileri getirmek için kullanılan eski bir ağ arama aracıdır.
Modern kimlik doğrulama ve kullanıcı sorgulama sistemleri standart hale geldikçe yavaş yavaş terk edildi, ancak on yıllık bu tehdit, artık eski protokol aracılığıyla alınan uzaktan talimatları bilmeden yürüten kullanıcıları hedef alan kötü niyetli operasyonlarda sessizce yeniden ortaya çıktı.
Yöntem, uzak bir parmak sunucusundan metin tabanlı komutların alınmasına ve bunların standart Windows komut yürütme yoluyla yerel olarak çalıştırılmasına dayanır.
Eski ama yine de tehlikeli
Bu etkinliğe olan ilgi, bir araştırmacının, yanıtı canlı bir Windows komut oturumuna yönlendirmeden önce uzak bir sunucu aracılığıyla parmak isteğini tetikleyen bir toplu komut dosyasını incelemesiyle yeniden ortaya çıktı.
Başvurulan sunucu o zamandan beri yanıt vermeyi durdurdu, ancak benzer davranışlar gösteren ek örnekler daha sonra devam eden saldırılarla ilişkilendirildi.
Bir örnek, bir insan doğrulama adımını tamamladığını düşünen bir kişiyi içeriyordu; aslında çıktı doğrudan bir komut işlemcisi oturumuna aktarılırken parmak adresine bağlanan bir komutu yürütüyordu.
Sunucu artık yanıt vermese de, daha önce elde edilen sonuç, rastgele yollar oluşturan, bir sistem aracını kopyalayan ve zararsız bir belge görünümüne bürünmüş sıkıştırılmış bir arşivi çıkaran bir diziyi gösteriyordu.
O arşivin içinde bir Python pythonw.exe aracılığıyla başlatılan ve daha sonra yürütmeyi onaylamak için uzak bir sunucuyla bağlantı kuran program.
İlgili bir toplu iş dosyası, paketin zararsız bir test aracı yerine bilgi çalma davranışı içerdiğini ileri sürdü.
Başka bir kampanya da benzer bir istek modeli kullandı ancak farklı bir sunucuyu hedefledi ve neredeyse aynı otomasyonu sağladı.
Analistler, bu sürümün ortak tersine mühendislik araçları ve izleme yardımcı programları için tarandığını gözlemledi.
Daha sonra tespit edildiğinde çıkış yapıldı; bu, aşamalı kötü amaçlı yazılım faaliyetlerinde sıklıkla görülen bir farkındalık düzeyine işaret ediyor.
Hiçbir algılama yardımcı programı bulunamazsa, komut dosyası, yetkisiz kontrol oturumları için kullanılan bilinen bir uzaktan erişim aracını sağlayan ayrı bir sıkıştırılmış dosya indirdi.
Bunu, kullanıcı her oturum açtığında başlatacak bir görevin zamanlanması takip eder.
Bu istismarın tek bir aktörü kapsadığı görülüyor, ancak kazara mağdurlar benzer olayları bildirmeye devam ediyor.
İnsanlara güvenli bilişimin artık güncellenmesi gerektiği hatırlatılıyor antivirüs güvenilir sistemler kötü amaçlı yazılım temizleme uygulamalar ve uygun şekilde yapılandırılmış güvenlik duvarı.
Eski bir arama aracının hâlâ risk teşkil etmesi garip gelebilir ancak eski protokoller, sosyal mühendislikle birleştirildiğinde hâlâ gerçek giriş noktaları oluşturabilir.
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.