CertUtilは、Windowsシステムに内蔵された便利なツールです。証明書のインストール、削除、管理、さらに、認証局の設定情報を確認したり、ファイルハッシュを生成したりするために使用されます。しかし、このWindowsの正規ツールを脅威と変える一方、攻撃者はセキュリティを回避する手段として、またはLotL攻撃の一部としてこれを悪用することがあります。
例えば、攻撃者がCertUtilを利用し、特定のURLからエンコードされた悪意のあるファイルをダウンロードしデコード、これを攻撃に用いるという事例が確認されています。’
