Как стало известно Bleeping Computer, загрузка на Windows вредоносного кода из Интернета иногда осуществляется с помощью средства командной строки CertUtil. С точки зрения злоумышленника этот способ хорош тем, что встроенная в Windows утилита, вероятнее всего, входит в белые списки, которыми оперируют установленные защитные решения, и ей будет позволено совершить такое действие.

Основным назначением CertUtil.exe является отображение информации о цифровых сертификатах, установленных в клиенте DirectAccess, на сервере DirectAccess или ресурсе интрасети. Эту утилиту также можно использовать для установки, удаления, резервного копирования сертификатов и выполнения других операций на Windows, связанных с сертификатами и их хранилищами.

В частности, с помощью CertUtil можно загрузить сертификат или иной файл с удаленного сервера и сохранить его локально, используя команду certutil.exe -urlcache -split -f [URL] output.file. О рисках, связанных с этой функциональностью, еще летом предупредил ИБ-исследователь Кейси Смит (Casey Smith).

К сожалению, эти опасения подтвердились: автор записи на BleepingComputer.com Лоуренс Абрамс (Lawrence Abrams) обнаружил на Virus Total совсем свежий образец троянской программы, которая использует CertUtil для загрузки различных bat-файлов и скриптов. Еще несколько аналогичных сэмплов были загружены на Hybrid-Analysis.comдля проверки в прошлом году.

Существование реальных зловредов, использующих эту утилиту Windows, подтвердил эксперт «Лаборатории Касперского» Фабио Ассолини (Fabio Assolini). После появления заметки Bleeping Computer он опубликовал твит, сообщив, что бразильские вирусописатели уже некоторое время применяют этот метод для установки дополнительного вредоносного ПО:

В своей записи Абрамс также апеллирует к находке F5 Labs — в конце прошлого месяца исследователи рассказали о криптоджекинг-кампании, инициаторы которой вначале атаковали серверы Linux, используя RCE-уязвимость CVE-2017-5638 в Apache Struts 2, а затем переключились на аналогичные Windows-системы. В последнем случае для загрузки майнера, а точнее, его инсталлятора, используется CertUtil.

О возможности злоупотребления этим инструментом предупреждает также ИБ-эксперт Ксавье Мертенс (Xavier Mertens) — он тоже обнаружил использующий CertUtil вредоносный скрипт. В своей записи в блоге Центра SANS по сетевым угрозам Мертенс поясняет, каким образом злоумышленник может совершить подобную загрузку в обход брандмауэра.

Дело в том, что CertUtil с легкостью обрабатывает закодированные по base64 данные. Если вредоносный исполняемый файл закодировать так, чтобы он выглядел, как безобидный .txt, он будет беспрепятственно загружен и после декодирования (по команде certutil.exe –decode) явит жертве свою истинную природу.

Во избежание неприятностей эксперты советуют заблокировать подключение CertUtil к Интернету, если эта утилита не используется для удаленного доступа к сертификатам и серверам. Положение также может спасти фильтрация по черным спискам доменов на границе сети.

Категории: Аналитика, Вредоносные программы, Главное