Легитимный Windows-инструмент CertUtil используется для установки малвари - «Новости»
sitename
Edge для Android получит расширения с ПК-версии браузера - «Новости мира Интернет»
Edge для Android получит расширения с ПК-версии браузера - «Новости мира Интернет»
 Reebok выпустила умное кольцо Smart Ring - «Новости мира Интернет»
Reebok выпустила умное кольцо Smart Ring - «Новости мира Интернет»
 Paint научился менять стиль изображений с помощью ИИ - «Новости мира Интернет»
Paint научился менять стиль изображений с помощью ИИ - «Новости мира Интернет»
 В 2ГИС добавили Линзы – персонализированные карты под разные задачи - «Новости мира Интернет»
В 2ГИС добавили Линзы – персонализированные карты под разные задачи - «Новости мира Интернет»
 Выяснилось, что стоит за повышением цен, закрытием студий и отменой игр Xbox - «Новости сети»
Выяснилось, что стоит за повышением цен, закрытием студий и отменой игр Xbox - «Новости сети»
 Mercedes-Benz построила самый мощный в мире 13-килограммовый электродвигатель - «Новости сети»
Mercedes-Benz построила самый мощный в мире 13-килограммовый электродвигатель - «Новости сети»
 Nike разработала первую в мире обувь с электроприводом для повседневной ходьбы - «Новости сети»
Nike разработала первую в мире обувь с электроприводом для повседневной ходьбы - «Новости сети»
 Razer выпустила геймпад Raiju V3 Pro — альтернатива DualSense Edge для PS5 и ПК с магнитными стиками и ценой $220 - «Новости сети»
Razer выпустила геймпад Raiju V3 Pro — альтернатива DualSense Edge для PS5 и ПК с магнитными стиками и ценой $220 - «Новости сети»
 В Китае выпустили человекообразного робота Bumi по цене iPhone 17 Pro Max - «Новости сети»
В Китае выпустили человекообразного робота Bumi по цене iPhone 17 Pro Max - «Новости сети»
 Сбер представил медиацентр SberBox Max с функцией улучшения изображения - «Новости мира Интернет»
Сбер представил медиацентр SberBox Max с функцией улучшения изображения - «Новости мира Интернет»
Новости мира Интернет » Новости » Легитимный Windows-инструмент CertUtil используется для установки малвари - «Новости»

✔Легитимный Windows-инструмент CertUtil используется для установки малвари - «Новости»

06 апреля 2018 729 Новости 0

ИБ-специалисты сразу нескольких фирм обнаружили интересную тенденцию в киберкриминальной среде. Встроенное в Windows решение для работы с сертификатами, CertUtil, используется для установки малвари.


В нормальных обстоятельствах Certutil.exe применяется для установки, удаления, бэкапа и выполнения других функций, связанных с работой сертификатов (в том числе, хранящихся в Windows). Так, одной из возможностей этого инструмента является загрузка сертификатов или любых других файлов с удаленного URL-адреса, для последующего сохранения в виде локального файла: certutil.exe -urlcache -split -f [URL] output.file. И еще в 2017 году специалисты по информационной безопасности выражали опасение, что эта функция может быть использована для загрузки малвари.





Дело в том, что в некоторых случаях преступникам будет удобнее использовать легитимную CertUtil для загрузки, так как зараженный компьютер может быть защищен, и неизвестным приложениям может быть запрещена загрузка чего бы то ни было. В таких ситуациях встроенное в Windows решение оказывается очень кстати.


Издание Bleeping Computer сообщает, что в последнее время на злоупотребление Certutil обратили внимание сразу несколько ИБ-специалистов. Так, Ксавье Мертенс (Xavier Mertens) опубликовал заметку, посвященную эксплуатации CertUtil злоумышленниками. Эксперт рассказывает, что атакующие не просто загружают малварь на зараженные машины, используя легитимный инструмент, но и маскируют свою полезную нагрузку с помощью base64, так что файл кажется защитным решениям безобидным текстом. Уже после загрузки файла, злоумышленники обращаются к команде certutil.exe -decode и преобразуют угрозу обратно в исполняемый файл. Такой метод позволяет хакерам оставаться незамеченными как можно дольше.





Также о злоупотреблении CertUtil пишут специалисты F5 Labs и «Лаборатории Касперского». Аналитики F5 Labs рассказали, что недавно ими была обнаружена кампания, в которой злоумышленники используют CertUtil.exe для атак на Windows-системы и устанавливают на них майнер криптовалюты Electroneum. В свою очередь, эксперт «Лаборатории Касперского» Фабио Ассолини (Fabio Assolini) сообщает, что данный метод уже довольно давно взяли на вооружение бразильские злоумышленники.





Так как эксплуатация CertUtil, по всей видимости, становится все популярнее, специалисты советуют запретить CertUtil связываться с интернетом. Конечно, если CertUtil не используется для доступа к сертификатам на удаленных серверах.



Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

ИБ-специалисты сразу нескольких фирм обнаружили интересную тенденцию в киберкриминальной среде. Встроенное в Windows решение для работы с сертификатами, CertUtil, используется для установки малвари. В нормальных обстоятельствах Certutil.exe применяется для установки, удаления, бэкапа и выполнения других функций, связанных с работой сертификатов (в том числе, хранящихся в Windows). Так, одной из возможностей этого инструмента является загрузка сертификатов или любых других файлов с удаленного URL-адреса, для последующего сохранения в виде локального файла: certutil.exe -urlcache -split -f _
CSS, CertUtil специалисты используется может быть
-1

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация