นักวิจัยด้านความปลอดภัย John Page (hyp3rlinx) ได้ออกมาเปิดเผยถึงการค้นพบ LOLBAS ใหม่ในวินโดวส์ของโปรแกรม finger.exe ซึ่งสามารถถูกใช้เพื่อการลักลอบดาวน์โหลดไฟล์, ติดต่อกับเซิร์ฟเวอร์ C2 หรือลักลอบขโมยไฟล์ออกสู่ภายนอกได้
LOLBAS หรือ Living Off The Land Binaries and Scripts เป็นเทคนิคการโจมตีซึ่งผู้ไม่ประสงค์ดีมีการใช้ไบนารีหรือสคริปต์ที่มีอยู่แล้วในระบบในการโจมตี ผลของการใช้ LOLBAS จะช่วยให้เกิดการหลบหลีกการตรวจจับหรือการป้องกันของ Security solution บางรูปแบบได้
finger.exe เป็นโปรแกรมซึ่งอิมพลีเมนต์การใช้โปรโตคอล finger ผ่านพอร์ต TCP/79 ซึ่งมักจะถูกบล็อคอยู่ก่อนแล้ว อย่างไรก็ตามผู้ไม่ประสงค์ดีที่มีสิทธิ์สูงสามารถใช้คำสั่ง netsh proxy เพื่อสร้าง proxy ในระบบและเปลี่ยนพอร์ตการใช้งานเพื่อให้ finger.exe สามารถทะลุผ่าน Network security solution ออกไปได้เช่นกัน
ทีม Intelligent Response แนะนำให้ตรวจสอบพฤติกรรมการใช้งาน Endpoint อย่างละเอียดโดยเฉพาะการเรียกใช้ netsh.exe และ finger.exe และขอย้ำโซลูชันการป้องกันอย่างแอนติไวรัสอาจไม่เพียงพอต่อการตรวจจับ เนื่องจาก finger.exe เป็นไฟล์ของวินโดวส์ตั้งแต่เริ่มต้น ไม่ใช่มัลแวร์ที่ถูกสร้างด้วยจุดประสงค์ทุ่มุ่งร้าย เพียงแต่ถูกใช้ (abuse) เพื่อจุดประสงค์ที่มุ่งร้ายเท่านั้น
ที่มา: bleepingcomputer.com