Contenu de Chasse aux Menaces : CertReq.exe Lolbin

Les binaires Living off the Land (Lolbins) sont des binaires légitimes que les adversaires avancés détournent souvent pour effectuer des actions au-delà de leur objectif initial. Les cybercriminels les utilisent activement pour télécharger des malwares, assurer la persistance, l’exfiltration de données, le mouvement latéral, et plus encore. Hier seulement, nous avons écrit sur une règle qui détecte les attaques du groupe Evil Corp, qui utilise également Lolbins pour déployer le ransomware WastedLocker sur le nombre maximum de systèmes dans les organisations.

CertReq.exe est présent sur Windows et son utilisation prévue est d’aider à la création et à l’installation de certificats. Ce n’est pas l’un des Lolbins qui est excessivement exploité par les cybercriminels, mais il peut être utilisé pour effectuer des actions malveillantes sans attirer l’attention des solutions de sécurité. Les cybercriminels peuvent utiliser CertReq.exe pour télécharger et téléverser de petits fichiers. Il peut être utilisé pour téléverser un fichier via HTTP POST, télécharger un fichier via HTTP POST et l’enregistrer sur le disque ou afficher le contenu. Vous pouvez en lire plus sur l’exploitation de CertReq.exe ici.

Den Iuzvik a développé et publié une nouvelle règle de chasse aux menaces Sigma qui détecte le possible téléversement/téléchargement de fichiers avec CertReq.exe : https://tdm.socprime.com/tdm/info/BBbpPolVZpLp/SJcgLnMBQAH5UgbBoihF/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Commande et contrôle

Techniques : copie de fichiers distants (T1105)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.