Conteúdo de Caça a Ameaças: CertReq.exe Lolbin

Binários Living off the Land (Lolbins) são binários legítimos que adversários avançados frequentemente usam indevidamente para realizar ações além de seu propósito original. Cibercriminosos os utilizam ativamente para baixar malware, garantir persistência, para exfiltração de dados, para movimento lateral e mais. Ontem mesmo escrevemos sobre uma regra que detecta ataques do grupo Evil Corp, que também usa Lolbins para implantar o ransomware WastedLocker no maior número de sistemas em organizações.

CertReq.exe está presente no Windows e seu uso pretendido é auxiliar na criação e instalação de certificados. Não é um dos Lolbins excessivamente explorados por cibercriminosos, mas pode ser usado para realizar ações maliciosas sem atrair a atenção das soluções de segurança. Cibercriminosos podem usar CertReq.exe para carregar e baixar arquivos pequenos. Pode ser usado para carregar um arquivo via HTTP POST, baixar um arquivo via HTTP POST e salvá-lo em disco ou mostrar conteúdos. Você pode ler mais sobre a exploração do CertReq.exe aqui.

Den Iuzvik desenvolveu e lançou uma nova regra de caça a ameaças Sigma que detecta possível envio/recebimento de arquivo com CertReq.exe: https://tdm.socprime.com/tdm/info/BBbpPolVZpLp/SJcgLnMBQAH5UgbBoihF/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Comando e Controle

Técnicas: Cópia Remota de Arquivo (T1105)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.