- Perintah “jari” tetap dapat dieksploitasi untuk eksekusi kode jarak jauh bahkan setelah bertahun-tahun tidak digunakan
- Penyerang menggunakan skrip batch untuk menyalurkan respons server langsung ke sesi perintah Windows
- Program Python tersembunyi dikirimkan melalui arsip yang disamarkan sebagai dokumen tidak berbahaya
Perintah jari adalah alat pencarian jaringan lama yang awalnya digunakan untuk mengambil informasi dasar tentang pengguna sistem jarak jauh atau lokal di Unix dan versi lebih baru di Windows.
Ancaman ini perlahan-lahan ditinggalkan ketika sistem autentikasi modern dan sistem kueri pengguna menjadi standar, namun ancaman yang telah berusia satu dekade ini kini tampaknya diam-diam muncul kembali dalam operasi jahat yang menargetkan pengguna yang tanpa sadar menjalankan instruksi jarak jauh yang ditarik melalui protokol yang sudah ketinggalan zaman.
Metode ini bergantung pada pengambilan perintah berbasis teks dari server jari jarak jauh dan menjalankannya secara lokal melalui eksekusi perintah standar Windows.
Tua tapi masih berbahaya
Ketertarikan pada aktivitas ini muncul kembali ketika seorang peneliti memeriksa skrip batch yang memicu permintaan jari melalui server jarak jauh sebelum mengarahkan respons ke sesi perintah Windows langsung.
Server yang direferensikan telah berhenti merespons, meskipun sampel tambahan yang menunjukkan perilaku serupa kemudian dikaitkan dengan serangan yang sedang berlangsung.
Salah satu contoh melibatkan seseorang yang mengira mereka sedang menyelesaikan langkah verifikasi manusia – padahal sebenarnya mereka menjalankan perintah yang terhubung ke alamat jari sementara output dialirkan langsung ke sesi pemroses perintah.
Meskipun server tidak lagi merespons, hasil yang diambil sebelumnya menunjukkan urutan yang membuat jalur acak, mengkloning alat sistem, dan mengekstrak arsip terkompresi yang menyamar sebagai dokumen tidak berbahaya.
Di dalam arsip itu ada a ular piton program yang diluncurkan melalui pythonw.exe dan kemudian menghubungi server jarak jauh untuk mengonfirmasi eksekusi.
File batch terkait menunjukkan bahwa paket tersebut berisi perilaku mencuri informasi daripada alat pengujian yang tidak berbahaya.
Kampanye lain menggunakan pola permintaan serupa tetapi menargetkan server berbeda dan memberikan otomatisasi yang hampir sama.
Analis mengamati bahwa versi ini memindai alat rekayasa balik umum dan utilitas pemantauan.
Kemudian keluar ketika terdeteksi, yang menyiratkan tingkat kesadaran yang sering terlihat dalam aktivitas malware yang dilakukan secara bertahap.
Jika tidak ada utilitas deteksi yang ditemukan, skrip mengunduh file terkompresi terpisah yang mengirimkan alat akses jarak jauh yang dikenal yang digunakan untuk sesi kontrol tidak sah.
Ini diikuti dengan penjadwalan tugas yang meluncurkannya setiap kali pengguna login.
Pelecehan ini nampaknya hanya melibatkan satu pelaku, meskipun korban kecelakaan terus melaporkan kejadian serupa.
Masyarakat diingatkan bahwa komputasi yang aman kini perlu diperbarui anti Virus sistem, dapat diandalkan penghapusan malware praktik, dan dikonfigurasi dengan benar firewall.
Mungkin terdengar aneh bahwa alat pencarian lama masih menimbulkan risiko, namun protokol lama masih dapat menciptakan titik masuk yang nyata bila dikombinasikan dengan rekayasa sosial.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
