# AN0154 — Analytic 0154 ## Descrição Detecta adições ou modificações inesperadas em armazenamentos de certificados de sistema no Linux, ou execução de comandos que adicionam certificados a armazenamentos confiáveis como updaté-ca-certificates ou dpkg-reconfigure. A telemetria inclui logs do auditd para monitorar modificações em /etc/ca-certificates/ e /usr/local/share/ca-certificates/, execuções de updaté-ca-certificates com parâmetros suspeitos, e correlação com processos que instalam certificados fora de operações de gerenciamento de pacotes legítimas (apt, rpm). Este analítico detecta instalação silenciosa de CAs raiz maliciosas em sistemas Linux, que permitem ao adversário interceptar conexões TLS ou assinar código malicioso como confiável pelo sistema operacional. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0154](https://attack.mitre.org/detectionstrategies/DET0056#AN0154)*