# AN0089 — Analytic 0089 ## Descrição Detecta a execução de binários com assinaturas digitais inválidas, onde os metadados afirmam que o código está assinado, mas a válidação falha. A telemetria utilizada inclui logs do Windows Code Integrity (Event ID 3001-3007), dados do Sysmon sobre integridade de imagem (Event ID 7), e correlação com processos pai suspeitos ou caminhos de execução inesperados. Este analítico é relevante porque adversários frequentemente reutilizam certificados roubados ou expirados para dar aparência de legitimidade a malware, técnica observada em campanhas de grupos como Lazarus e TA505. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] --- *Fonte: [MITRE ATT&CK — AN0089](https://attack.mitre.org/detectionstrategies/DET0031#AN0089)*