certutil 다운로드

Certutil 이전 버전의 Windows에서 발견 된 파일 체크섬 무결성 검증 (FCIV)를 대체 합니다. 이 하나는 regsvr32에 가깝습니다. 또한 @subTee에 의해 발견, 그것은 특정 기능을 노출 하는 DLL을 실행할 수 있습니다. 주의 해야 할 것은 DLL 파일에 확장명이 .dll이 필요 하지 않다는 것입니다. UNC/WebDAV를 사용 하 여 다운로드 할 수 있습니다: 공격자가 이미 컴퓨터에 발판을가지고 있을 때 CertUtil을 사용 하는 이유를 궁금해 할 수 있습니다. 이는 알 수 없는 응용 프로그램이 프로그램을 다운로드할 수 없도록 일부 컴퓨터를 잠글 수 있기 때문입니다. 내장 된 Windows 프로그램을 사용 하면 CertUtil이 설치 된 보안 프로그램에 의해 허용 목록에 있을 수 있으므로 파일을 다운로드 할 수 있습니다. Windows 버전 (7)에 따라 HTTP를 통해 다운로드 한 개체의 로컬 캐시는 IE 로컬 캐시가 되며, 다음 위치에 있습니다 .이 과거를 얻으려면, Mertens는에 지 장치에 있도록 악성 파일을 인코딩 첫 번째 base64의 아이디어와 함께 왔다 ust가 무해 한 텍스트로 나타납니다. 그런 다음 텍스트 파일이 다운로드 되 면 “certutil .exe 디코딩” 명령을 사용 하 여 base64로 인코딩된 파일을 실행 파일로 디코딩할 수 있습니다.

Certutil은 명령줄 매개 변수의 순서에 민감합니다. 예를 들어, 전체 페이로드 다운로드 부분은 certutil으로 수행 할 수 있습니다이 발견에 대 한 @subTee 덕분에 다시: 보안 연구원 케이시 스미스 2017이 방법은 악성 코드를 다운로드 하는 데 사용할 수 있다는 우려. CertDir: CTL 항목과 일치 하는 인증서가 포함 된 폴더입니다. Http: 폴더 경로는 경로 구분 기호로 끝나야 합니다. 폴더를 지정 하지 않은 경우 AuthRoot 또는 허용 안 함, 여러 위치에서 일치 하는 인증서에 대 한 검색 됩니다: 로컬 인증서 저장소, crypt32 리소스 및 로컬 URL 캐시 합니다. 필요한 경우-f를 사용 하 여 Windows 업데이트에서 다운로드 합니다. 그렇지 않은 경우에는 CTLObject와 동일한 폴더나 웹 사이트로 기본값이 설정 됩니다. 모든 커맨드 라인이 위의 모든 포인트를 충족 하는 것은 아니라는 것을 분명히 합시다. 특히 “디스크에 페이로드를 쓰지 않는다» 하나, 대부분의 시간 때문에 다운로드 한 파일은 로컬 캐시에 종료 됩니다. CertUtil의 기능 중 하나는 원격 URL에서 인증서 또는 해당 문제에 대 한 다른 파일을 다운로드 하 고 구문을 사용 하 여 로컬 파일로 저장 하는 기능입니다 “[URL] 출력 파일”.

Mshta 정말 같은 패밀리 cscript/w 스크립트 하지만 다운로드 하 고 페이로드로 스크립틀릿을 실행 하는 인라인 스크립트를 실행 하는 추가 기능: 이미 설명한 대로 다음 명령을 사용 하 여 CertUtil을 사용 하 여 파일을 다운로드할 수 있습니다. Certutil은 인증서 서비스의 일부로 설치 되는 명령줄 프로그램입니다.