Легитимный Windows-инструмент CertUtil используется для установки малвари - «Новости»
sitename
Adobe добавила AI-ассистента в Photoshop – редактировать фото теперь можно текстом - «Новости мира Интернет»
Adobe добавила AI-ассистента в Photoshop – редактировать фото теперь можно текстом - «Новости мира Интернет»
 Аналитики объяснили, почему эксклюзивы PlayStation продаются на ПК всё хуже и хуже - «Новости сети»
Аналитики объяснили, почему эксклюзивы PlayStation продаются на ПК всё хуже и хуже - «Новости сети»
 Российские компании начали замораживать рекламу в Telegram после заявления ФАС - «Новости сети»
Российские компании начали замораживать рекламу в Telegram после заявления ФАС - «Новости сети»
 Samsung собирается предложить пользователям смартфонов Galaxy инструмент для вайб-кодинга - «Новости сети»
Samsung собирается предложить пользователям смартфонов Galaxy инструмент для вайб-кодинга - «Новости сети»
 Apple сообщила о прекращении производства сразу 15 продуктов - «Новости сети»
Apple сообщила о прекращении производства сразу 15 продуктов - «Новости сети»
 Дефицит — это «просто чудесно», заявил глава Nvidia Дженсен Хуанг - «Новости сети»
Дефицит — это «просто чудесно», заявил глава Nvidia Дженсен Хуанг - «Новости сети»
 YouTube приступает к показу обязательной к просмотру рекламы на телевизорах по всему миру - «Новости сети»
YouTube приступает к показу обязательной к просмотру рекламы на телевизорах по всему миру - «Новости сети»
 «Первый достойный наследник Disco Elysium»: в Steam вышла фэнтезийная ролевая игра Esoteric Ebb, вдохновлённая Planescape: Torment - «Новости сети»
«Первый достойный наследник Disco Elysium»: в Steam вышла фэнтезийная ролевая игра Esoteric Ebb, вдохновлённая Planescape: Torment - «Новости сети»
 Google представила Gemini 3.1 Flash-Lite — «самую быструю и экономически эффективную модель семейства» - «Новости сети»
Google представила Gemini 3.1 Flash-Lite — «самую быструю и экономически эффективную модель семейства» - «Новости сети»
 «Первое хорошее обновление за три года»: легендарная CS:GO вернулась в Steam к радости фанатов - «Новости сети»
«Первое хорошее обновление за три года»: легендарная CS:GO вернулась в Steam к радости фанатов - «Новости сети»
Новости мира Интернет » Новости » Легитимный Windows-инструмент CertUtil используется для установки малвари - «Новости»

✔Легитимный Windows-инструмент CertUtil используется для установки малвари - «Новости»

06 апреля 2018 756 Новости 0

ИБ-специалисты сразу нескольких фирм обнаружили интересную тенденцию в киберкриминальной среде. Встроенное в Windows решение для работы с сертификатами, CertUtil, используется для установки малвари.


В нормальных обстоятельствах Certutil.exe применяется для установки, удаления, бэкапа и выполнения других функций, связанных с работой сертификатов (в том числе, хранящихся в Windows). Так, одной из возможностей этого инструмента является загрузка сертификатов или любых других файлов с удаленного URL-адреса, для последующего сохранения в виде локального файла: certutil.exe -urlcache -split -f [URL] output.file. И еще в 2017 году специалисты по информационной безопасности выражали опасение, что эта функция может быть использована для загрузки малвари.





Дело в том, что в некоторых случаях преступникам будет удобнее использовать легитимную CertUtil для загрузки, так как зараженный компьютер может быть защищен, и неизвестным приложениям может быть запрещена загрузка чего бы то ни было. В таких ситуациях встроенное в Windows решение оказывается очень кстати.


Издание Bleeping Computer сообщает, что в последнее время на злоупотребление Certutil обратили внимание сразу несколько ИБ-специалистов. Так, Ксавье Мертенс (Xavier Mertens) опубликовал заметку, посвященную эксплуатации CertUtil злоумышленниками. Эксперт рассказывает, что атакующие не просто загружают малварь на зараженные машины, используя легитимный инструмент, но и маскируют свою полезную нагрузку с помощью base64, так что файл кажется защитным решениям безобидным текстом. Уже после загрузки файла, злоумышленники обращаются к команде certutil.exe -decode и преобразуют угрозу обратно в исполняемый файл. Такой метод позволяет хакерам оставаться незамеченными как можно дольше.





Также о злоупотреблении CertUtil пишут специалисты F5 Labs и «Лаборатории Касперского». Аналитики F5 Labs рассказали, что недавно ими была обнаружена кампания, в которой злоумышленники используют CertUtil.exe для атак на Windows-системы и устанавливают на них майнер криптовалюты Electroneum. В свою очередь, эксперт «Лаборатории Касперского» Фабио Ассолини (Fabio Assolini) сообщает, что данный метод уже довольно давно взяли на вооружение бразильские злоумышленники.





Так как эксплуатация CertUtil, по всей видимости, становится все популярнее, специалисты советуют запретить CertUtil связываться с интернетом. Конечно, если CertUtil не используется для доступа к сертификатам на удаленных серверах.



Источник новостиgoogle.com

ИБ-специалисты сразу нескольких фирм обнаружили интересную тенденцию в киберкриминальной среде. Встроенное в Windows решение для работы с сертификатами, CertUtil, используется для установки малвари. В нормальных обстоятельствах Certutil.exe применяется для установки, удаления, бэкапа и выполнения других функций, связанных с работой сертификатов (в том числе, хранящихся в Windows). Так, одной из возможностей этого инструмента является загрузка сертификатов или любых других файлов с удаленного URL-адреса, для последующего сохранения в виде локального файла: certutil.exe -urlcache -split -f _

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS, CertUtil специалисты используется может быть
-1

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация