CertUtil.exe cho phép kẻ tấn công tải mã độc và qua mặt phần mềm diệt virus

Windows có một phần mềm tích hợp gọi là CertUtil dùng để quản lý chứng nhận trong Windows. Dùng CertUtil bạn có thể cài, sao lưu, xóa, quản lý, thực hiện các chức năng liên quan tới chứng nhận trong Windows.

Một trong các tính năng của CertUtil là tải chứng nhận hay bất kì tập tin nào liên quan từ URL và lưu trên máy bằng cú pháp certutil.exe -urlcache -split -f [URL] output.file.

Năm 2017, nhà nghiên cứu an ninh Casey Smith đã cảnh báo về việc có thể dùng phương thức này để tải mã độc. Năm 2016 nó đã bị lợi dụng và cả tháng 3 vừa qua cũng có Trojan dùng nó để tải hàng loạt tập tin và kịch bản về máy.

Kẻ tấn công vẫn dùng CertUtil là bởi 1 số máy tính vẫn bị khóa, không cho các phần mềm lạ tải file. Dùng phần mềm tích hợp trong Windows sẽ giúp có khả năng được đưa vào danh sách trắng và được phép tải tập tin.

CertUtil được dùng trên một trojan mới đây
CertUtil được dùng trên một trojan mới đây

Dùng CertUtil+Base64 để qua mặt phần mềm diệt virus

Nhà tư vấn an ninh Xaview Mertens mới công bố 1 cách dùng CertUtil khác, theo đó đầu tiên base64 sẽ mã hóa tập tin nhiễm độc để được nhận dạng là vô hại, rồi được giải mã sau khi được CertUtil.exe tải về.

Lệnh tải tập tin bằng CertUtil:

certutil.exe -urlcache -split -f [URL] output.file

MalwareHunterTeam cho biết certutil.exe -decode đã được sử dụng trong thực tế. F5 Labs cũng nêu chi tiết một chiến dịch dùng CertUtil.exe để cài công cụ đào tiền ảo. Fabio Assolini đến từ Kaspersky cũng cảnh báo cách này đã được dùng ở Brazil.

Từng ngày luôn có những thủ thuật mới để khai thác những chương trình vốn là hợp pháp, an toàn trên Windows. Nếu không dùng CertUtil để truy cập chứng nhận hay máy chủ từ xa, bạn nên khóa khả năng kết nối mạng của công cụ này.

Xem thêm:

Thứ Năm, 26/04/2018 13:59
51 👨 340