s0160-certutil - RunkIntel

# certutil > Tipo: **tool** · S0160 · [MITRE ATT&CK](https://attack.mitre.org/software/S0160) ## Descrição [[s0160-certutil|certutil]] é um utilitário de linha de comando nativo do Windows que pode ser utilizado para obter informações de autoridades certificadoras (CA), configurar os Serviços de Certificados do Windows, verificar hashes de arquivos e gerenciar certificados digitais. Administradores de PKI (Public Key Infrastructure) o utilizam regularmente para diagnosticar problemas de cadeia de certificados, instalar certificados raiz corporativos e verificar integridade de arquivos via hash MD5/SHA. Adversários exploram o certutil extensivamente como LOLBin (Living off the Land Binary) porque está presente em todos os sistemas Windows modernos, é assinado digitalmente pela Microsoft e é frequentemente permitido por políticas de Application Whitelisting. O abuso mais comum envolve: download de payloads via `certutil -urlcache -split -f <URL>` (bypassa proxies simples), decodificação de payloads Base64 via `certutil -decode`, e instalação de certificados raiz maliciosos para facilitar ataques MITM. Grupos como [[g0045-apt10|menuPass]], [[g0007-apt28|APT28]], [[g0010-turla|Turla]], [[g0049-oilrig|OilRig]] e [[g1016-fin13|FIN13]] utilizam certutil nessas finalidades. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1553-004-install-root-certificate|T1553.004 - Install Root Certificaté]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0045-apt10|menuPass]] - [[g0007-apt28|APT28]] - [[g0010-turla|Turla]] - [[g0049-oilrig|OilRig]] - [[g1051-medusa-ransomware|Medusa Group]] - [[g0027-threat-group-3390|Threat Group-3390]] - [[g0126-higaisa|Higaisa]] - [[g1016-fin13|FIN13]] - [[g1006-earth-lusca|Earth Lusca]] - [[g0096-apt41|APT41]] ## Relevância LATAM/Brasil O certutil é uma das ferramentas LOLBin mais exploradas em campanhas direcionadas ao Brasil. O [[g1016-fin13|FIN13]], com foco documentado no México e América Latina, utilizou certutil para download de payloads em operações contra organizações financeiras e de varejo. Trojans bancários brasileiros (famílias Grandoreiro, Mekotio, Casbaneiro) frequentemente incluem etapas de decode Base64 via certutil para desempacotar payloads finais, tornando a ferramenta um indicador de comprometimento relevante para o cenário local. O CERT.br registrou uso de `certutil -urlcache` como técnica de download em campanhas de phishing direcionadas a usuários brasileiros em 2024. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Monitorar `certutil.exe` com flags `-urlcache`, `-decode`, `-encode`, `-decodehex` - especialmente quando executado a partir de processos de email/Office ou com paths de destino em `%TEMP%` - **Sysmon Event ID 3 (NetworkConnect):** Conexões HTTP/HTTPS iniciadas por `certutil.exe` - certutil não deveria fazer download de URLs externas em operação normal - **Sysmon Event ID 11 (FileCreaté):** Arquivos criados por certutil em diretórios temporários ou não-sistema **Regras de detecção:** - Sigma: `proc_creation_win_certutil_download.yml` - uso de `-urlcache -split -f` com URL externa (SigmaHQ) - Sigma: `proc_creation_win_certutil_encode_decode.yml` - operações de encode/decode em paths suspeitos - Microsoft Defender: rule nativa `CertUtil Decode Used to Obfuscaté Payload` (Defender for Endpoint) ## Referências Adicionais - [MITRE ATT&CK - S0160](https://attack.mitre.org/software/S0160) - [SigmaHQ - certutil download detection](https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process_creation/proc_creation_win_certutil_download.yml) - 2024 - [Mandiant - FIN13 LATAM Operations](https://www.mandiant.com/resources/blog/fin13-a-cybercriminal-threat-actor-focused-on-mexico) - 2022-11-02