Threat-Hunting-Inhalte: CertReq.exe Lolbin

Living off the Land-Binärdateien (Lolbins) sind legitime Binärdateien, die fortgeschrittene Gegner oft missbrauchen, um Aktionen auszuführen, die über ihren ursprünglichen Zweck hinausgehen. Cyberkriminelle nutzen sie aktiv, um Malware herunterzuladen, Persistenz sicherzustellen, Daten zu exfiltrieren, sich lateral zu bewegen und mehr. Erst gestern haben wir über eine Regel geschrieben, die Angriffe der Evil Corp-Gruppe erkennt, welche ebenfalls Lolbins verwendet, um WastedLocker-Ransomware auf die maximale Anzahl von Systemen in Organisationen zu verteilen.

CertReq.exe ist auf Windows vorhanden und sein vorgesehener Zweck ist es, bei der Erstellung und Installation von Zertifikaten zu helfen. Es gehört nicht zu den Lolbins, die übermäßig von Cyberkriminellen ausgenutzt werden, kann aber verwendet werden, um bösartige Aktionen durchzuführen, ohne die Aufmerksamkeit von Sicherheitslösungen zu erregen. Cyberkriminelle können CertReq.exe nutzen, um kleine Dateien hochzuladen und herunterzuladen. Es kann verwendet werden, um eine Datei über HTTP POST hochzuladen, eine Datei über HTTP POST herunterzuladen und auf der Festplatte zu speichern oder Inhalte anzuzeigen. Mehr über die Ausnutzung von CertReq.exe können Sie hier.

Den Iuzvik entwickelte und veröffentlichte eine neue Threat-Hunting-Sigma-Regel, die einen möglichen Datei-Upload/Download mit CertReq.exe erkennt: https://tdm.socprime.com/tdm/info/BBbpPolVZpLp/SJcgLnMBQAH5UgbBoihF/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Befehl und Kontrolle

Techniken: Remote Dateikopie (T1105)

Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder dem Threat Bounty Program beitreten um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.