LOLBins——利用证书校验程序Certutil.exe和CertReq.exe

Certutil

Certutil （证书实用程序）是一个随 Microsoft Windows 操作系统预装的命令行工具。它主要用于管理和操作证书以及执行加密操作。系统管理员和 IT 专业人员使用Certutil来颁发、验证和吊销证书。此外，它还用于处理加密、解密和签名相关的任务。然而，攻击者也可以将certutil.exe滥用为LOLBin来达到恶意目的。

攻击者可以通过以下方式利用Certutil ：

文件解码：攻击者可能会滥用Certutil对文件进行解码和编码的能力，将恶意负载隐藏在看似无辜的文件中。由于其非基于签名的性质，这使得安全专业人员很难检测到它。
下载和执行：Certutil可用于从远程服务器下载文件，攻击者可以使用这些文件下载并运行恶意软件或在易受攻击的系统上执行任意代码，而无需任何检测。
证书操纵：Certutil允许攻击者编辑证书，通过篡改证书，攻击者可以通过冒充合法实体或执行中间人攻击来危害系统安全。
代码签名滥用：Certutil可以使用数字证书对可执行文件和脚本进行签名。攻击者可以利用此功能对恶意文件进行签名，使它们看起来合法并绕过依赖于基于信任的白名单的安全机制。

Certuti l 漏洞利用可以从绕过检测并对文件内容进行编码（示例中为base64 ）开始：

certutil -urlcache -split “htt