LOLBins——利用证书校验程序Certutil.exe和CertReq.exe

摔不死的笨鸟

于 2023-07-21 20:00:00 发布

阅读量511

点赞数

分类专栏： Windows病毒分析文章标签：网络

本文链接：https://blog.youkuaiyun.com/qq_43312649/article/details/131848590

版权

Windows病毒分析专栏收录该内容

50 篇文章 ¥59.90 ¥99.00

订阅专栏

超级会员免费看

Certutil和CertReq.exe是Windows系统自带的命令行工具，通常用于证书管理和加密操作。然而，攻击者可以利用这两者进行恶意活动，如文件解码隐藏恶意负载、下载执行恶意软件、证书篡改和代码签名滥用。Certutil能绕过检测，CertReq.exe则可能被用于上传下载小文件，执行隐蔽操作。这些滥用行为对网络安全构成威胁。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Certutil

Certutil （证书实用程序）是一个随 Microsoft Windows 操作系统预装的命令行工具。它主要用于管理和操作证书以及执行加密操作。系统管理员和 IT 专业人员使用Certutil来颁发、验证和吊销证书。此外，它还用于处理加密、解密和签名相关的任务。然而，攻击者也可以将certutil.exe滥用为LOLBin来达到恶意目的。

攻击者可以通过以下方式利用Certutil ：

文件解码：攻击者可能会滥用Certutil对文件进行解码和编码的能力，将恶意负载隐藏在看似无辜的文件中。由于其非基于签名的性质，这使得安全专业人员很难检测到它。
下载和执行：Certutil可用于从远程服务器下载文件，攻击者可以使用这些文件下载并运行恶意软件或在易受攻击的系统上执行任意代码，而无需任何检测。
证书操纵：Certutil允许攻击者编辑证书，通过篡改证书，攻击者可以通过冒充合法实体或执行中间人攻击来危害系统安全。
代码签名滥用：Certutil可以使用数字证书对可执行文件和脚本进行签名。攻击者可以利用此功能对恶意文件进行签名，使它们看起来合法并绕过依赖于基于信任的白名单的安全机制。

Certuti l 漏洞利用可以从绕过检测并对文件内容进行编码