Continuamente se están desarrollando herramientas de malware que no pueden ser identificadas por las soluciones convencionales de seguridad. El ransomware se ha convertido en el caso más común y dañino.

En esta evolución, los atacantes no solo diseñan sus propias herramientas, sino que también hacen uso de aquellas que forman parte del sistema operativo. Éstas últimas son catalogadas como válidas y no requieren de un análisis adicional por parte de las plataformas tradicionales de antivirus.

Una herramienta nativa del sistema operativo Windows es la denominada Certutil; ésta fue desarrollada por Microsoft y se encuentra incluida por defecto en la instalación del Sistema Operativo. Su objetivo es administrar los certificados digitales, instalar nuevos certificados en el dispositivo, realizar la copia de seguridad de los existentes e incluso eliminar los que ya no se utilizan.

Microsoft define el uso de esta herramienta de la siguiente manera: “Certutil.exe” es un programa de línea de comandos que se instala como parte de los servicios de Certificate Server. Puede utilizarse para mostrar la información de configuración de la entidad de certificación (CA), configurar servicios de Certificate Server, realizar copias de seguridad, restaurar componentes de CA y comprobar certificados, pares de claves y cadenas de certificados”.

Adicionalmente, esta herramienta permite la descarga de certificados desde dispositivos ubicados en Internet, funcionalidad que ha sido aprovechada por los atacantes para la descarga de artefactos que podrían ser utilizados para actividades ilícitas dentro de las organizaciones.

Entidades dedicadas a la ciberseguridad, como el caso de Mitre, han mapeado el uso de Certutil con algunos procedimientos que son utilizados comúnmente por múltiples amenazas. Algunos de ellos implican la descarga de artefactos, codificación y decodificación de artefactos y comandos.

Por ende, es necesario contar con herramientas y procedimientos que permitan al personal de TI identificar actividades anormales que se estén realizando con las herramientas nativas de los sistemas operativos, así como efectuar actividades preventivas que impidan que sean utilizadas con fines maliciosos. En el caso de Certutil, se recomienda realizar las siguientes acciones preventivas:

• El uso de plataformas EDR permite el sondeo de las actividades realizadas por los diferentes procesos, servicios y aplicaciones en el Sistema Operativo, lo cual beneficia a los equipos de Respuesta a Incidentes para analizar las actividades que se estuvieron realizando en el dispositivo. Algunas plataformas pueden se configuradas para bloquear la ejecución de actividades que sean atípicas o que sean consideradas como maliciosas, aun si las lleva a cabo alguna aplicación o ejecutable válido.
• Configurar el bloqueo en el firewall del dispositivo para cualquier comunicación de esta herramienta hacia internet, siempre y cuando no afecte las operaciones del equipo en cuestión (por ejemplo, si se requiere la descarga de certificados desde internet).

En conclusión, no solo es necesario mantener un monitoreo activo en búsqueda de amenazas, sino que también se requiere analizar el comportamiento de las herramientas y aplicaciones nativas en los dispositivos de la red, a fin de identificar amenazas que estén vulnerando nuestra infraestructura.

Referencias:
https://docs.microsoft.com/es-es/windows-server/administration/windows-commands/certutil
https://attack.mitre.org/techniques/T1105/
https://www.sentinelone.com/blog/malware-living-off-land-with-certutil/
https://isc.sans.edu/diary/rss/23517
https://www.varonis.com/blog/the-malware-hiding-in-your-windows-system32-folder-part-iii-Certutil-and-alternate-data-streams/