Легитимный Windows-инструмент CertUtil используется для установки малвари - «Новости»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Новости мира Интернет » Новости » Легитимный Windows-инструмент CertUtil используется для установки малвари - «Новости»

ИБ-специалисты сразу нескольких фирм обнаружили интересную тенденцию в киберкриминальной среде. Встроенное в Windows решение для работы с сертификатами, CertUtil, используется для установки малвари.


В нормальных обстоятельствах Certutil.exe применяется для установки, удаления, бэкапа и выполнения других функций, связанных с работой сертификатов (в том числе, хранящихся в Windows). Так, одной из возможностей этого инструмента является загрузка сертификатов или любых других файлов с удаленного URL-адреса, для последующего сохранения в виде локального файла: certutil.exe -urlcache -split -f [URL] output.file. И еще в 2017 году специалисты по информационной безопасности выражали опасение, что эта функция может быть использована для загрузки малвари.





Дело в том, что в некоторых случаях преступникам будет удобнее использовать легитимную CertUtil для загрузки, так как зараженный компьютер может быть защищен, и неизвестным приложениям может быть запрещена загрузка чего бы то ни было. В таких ситуациях встроенное в Windows решение оказывается очень кстати.


Издание Bleeping Computer сообщает, что в последнее время на злоупотребление Certutil обратили внимание сразу несколько ИБ-специалистов. Так, Ксавье Мертенс (Xavier Mertens) опубликовал заметку, посвященную эксплуатации CertUtil злоумышленниками. Эксперт рассказывает, что атакующие не просто загружают малварь на зараженные машины, используя легитимный инструмент, но и маскируют свою полезную нагрузку с помощью base64, так что файл кажется защитным решениям безобидным текстом. Уже после загрузки файла, злоумышленники обращаются к команде certutil.exe -decode и преобразуют угрозу обратно в исполняемый файл. Такой метод позволяет хакерам оставаться незамеченными как можно дольше.





Также о злоупотреблении CertUtil пишут специалисты F5 Labs и «Лаборатории Касперского». Аналитики F5 Labs рассказали, что недавно ими была обнаружена кампания, в которой злоумышленники используют CertUtil.exe для атак на Windows-системы и устанавливают на них майнер криптовалюты Electroneum. В свою очередь, эксперт «Лаборатории Касперского» Фабио Ассолини (Fabio Assolini) сообщает, что данный метод уже довольно давно взяли на вооружение бразильские злоумышленники.





Так как эксплуатация CertUtil, по всей видимости, становится все популярнее, специалисты советуют запретить CertUtil связываться с интернетом. Конечно, если CertUtil не используется для доступа к сертификатам на удаленных серверах.



Источник новостиgoogle.com

ИБ-специалисты сразу нескольких фирм обнаружили интересную тенденцию в киберкриминальной среде. Встроенное в Windows решение для работы с сертификатами, CertUtil, используется для установки малвари. В нормальных обстоятельствах Certutil.exe применяется для установки, удаления, бэкапа и выполнения других функций, связанных с работой сертификатов (в том числе, хранящихся в Windows). Так, одной из возможностей этого инструмента является загрузка сертификатов или любых других файлов с удаленного URL-адреса, для последующего сохранения в виде локального файла: certutil.exe -urlcache -split -f _

Смотрите также

А что там на главной? )))



Комментарии )))