# AN0153 — Analytic 0153 ## Descrição Detecta modificações não autorizadas nos armazenamentos de certificados raiz do Windows monitorando chaves de registro relacionadas (HKLM\SOFTWARE\Microsoft\SystemCertificates), processos de instalação de certificado, e criação de novas entradas de certificado não presentes na lista de confiança de referência. A telemetria inclui Windows Event Log (Event ID 4898 para instalação de certificado, 5061 para operações de certificado), logs do Sysmon para modificação de registro de certificados, e alertas de derivação da lista de CAs confiáveis corporativas. Este analítico detecta ataques de inserção de CA raiz maliciosa que permitem ao adversário realizar interceptação HTTPS não detectada por TLS inspection ou assinar código malicioso como confiável pelo sistema, técnica utilizada por grupos como Sandworm em ataques de nação-estado. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0153](https://attack.mitre.org/detectionstrategies/DET0056#AN0153)*