Легитимный Windows-инструмент CertUtil используется для установки малвари - «Новости»
sitename
Microsoft открыла регистрацию на бесплатный год обновлений безопасности для Windows 10 - «Новости сети»
Microsoft открыла регистрацию на бесплатный год обновлений безопасности для Windows 10 - «Новости сети»
 Их заменил ИИ: ведущие технологические компании уволили более 100 000 специалистов с начала года - «Новости сети»
Их заменил ИИ: ведущие технологические компании уволили более 100 000 специалистов с начала года - «Новости сети»
 «Парадокс успеха»: глава Microsoft попытался успокоить сотрудников после новой волны увольнений - «Новости сети»
«Парадокс успеха»: глава Microsoft попытался успокоить сотрудников после новой волны увольнений - «Новости сети»
 Intel пригрозила бросить освоение передового техпроцесса 14A, если на него не найдётся заказчиков - «Новости сети»
Intel пригрозила бросить освоение передового техпроцесса 14A, если на него не найдётся заказчиков - «Новости сети»
 Анонсированы смартфоны Realme 15 и 15 Pro с улучшенными камерами и чипами Snapdragon 7 Gen 4 и Dimensity 7300+ - «Новости сети»
Анонсированы смартфоны Realme 15 и 15 Pro с улучшенными камерами и чипами Snapdragon 7 Gen 4 и Dimensity 7300+ - «Новости сети»
 Новая ролевая модель в Вебмастере — «Блог для вебмастеров»
Новая ролевая модель в Вебмастере — «Блог для вебмастеров»
 Почти полноценную Windows XP теперь можно запустить прямо в браузере - «Новости сети»
Почти полноценную Windows XP теперь можно запустить прямо в браузере - «Новости сети»
 Microsoft узнала о критической уязвимости SharePoint ещё два месяца назад, но не смогла её исправить - «Новости сети»
Microsoft узнала о критической уязвимости SharePoint ещё два месяца назад, но не смогла её исправить - «Новости сети»
 Слухи: новым руководителем российского издателя «Мира танков» и «Мира кораблей» станет бывший гендиректор «ВКонтакте» - «Новости сети»
Слухи: новым руководителем российского издателя «Мира танков» и «Мира кораблей» станет бывший гендиректор «ВКонтакте» - «Новости сети»
 Эксперты рассказали, как не получить штраф за поиск экстремистских материалов - «Новости сети»
Эксперты рассказали, как не получить штраф за поиск экстремистских материалов - «Новости сети»
Новости мира Интернет » Новости » Легитимный Windows-инструмент CertUtil используется для установки малвари - «Новости»

✔Легитимный Windows-инструмент CertUtil используется для установки малвари - «Новости»

06 апреля 2018 699 Новости 0

ИБ-специалисты сразу нескольких фирм обнаружили интересную тенденцию в киберкриминальной среде. Встроенное в Windows решение для работы с сертификатами, CertUtil, используется для установки малвари.


В нормальных обстоятельствах Certutil.exe применяется для установки, удаления, бэкапа и выполнения других функций, связанных с работой сертификатов (в том числе, хранящихся в Windows). Так, одной из возможностей этого инструмента является загрузка сертификатов или любых других файлов с удаленного URL-адреса, для последующего сохранения в виде локального файла: certutil.exe -urlcache -split -f [URL] output.file. И еще в 2017 году специалисты по информационной безопасности выражали опасение, что эта функция может быть использована для загрузки малвари.





Дело в том, что в некоторых случаях преступникам будет удобнее использовать легитимную CertUtil для загрузки, так как зараженный компьютер может быть защищен, и неизвестным приложениям может быть запрещена загрузка чего бы то ни было. В таких ситуациях встроенное в Windows решение оказывается очень кстати.


Издание Bleeping Computer сообщает, что в последнее время на злоупотребление Certutil обратили внимание сразу несколько ИБ-специалистов. Так, Ксавье Мертенс (Xavier Mertens) опубликовал заметку, посвященную эксплуатации CertUtil злоумышленниками. Эксперт рассказывает, что атакующие не просто загружают малварь на зараженные машины, используя легитимный инструмент, но и маскируют свою полезную нагрузку с помощью base64, так что файл кажется защитным решениям безобидным текстом. Уже после загрузки файла, злоумышленники обращаются к команде certutil.exe -decode и преобразуют угрозу обратно в исполняемый файл. Такой метод позволяет хакерам оставаться незамеченными как можно дольше.





Также о злоупотреблении CertUtil пишут специалисты F5 Labs и «Лаборатории Касперского». Аналитики F5 Labs рассказали, что недавно ими была обнаружена кампания, в которой злоумышленники используют CertUtil.exe для атак на Windows-системы и устанавливают на них майнер криптовалюты Electroneum. В свою очередь, эксперт «Лаборатории Касперского» Фабио Ассолини (Fabio Assolini) сообщает, что данный метод уже довольно давно взяли на вооружение бразильские злоумышленники.





Так как эксплуатация CertUtil, по всей видимости, становится все популярнее, специалисты советуют запретить CertUtil связываться с интернетом. Конечно, если CertUtil не используется для доступа к сертификатам на удаленных серверах.



Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

ИБ-специалисты сразу нескольких фирм обнаружили интересную тенденцию в киберкриминальной среде. Встроенное в Windows решение для работы с сертификатами, CertUtil, используется для установки малвари. В нормальных обстоятельствах Certutil.exe применяется для установки, удаления, бэкапа и выполнения других функций, связанных с работой сертификатов (в том числе, хранящихся в Windows). Так, одной из возможностей этого инструмента является загрузка сертификатов или любых других файлов с удаленного URL-адреса, для последующего сохранения в виде локального файла: certutil.exe -urlcache -split -f _
CSS, CertUtil специалисты используется может быть
-1

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация