# AN0643 — Analytic 0643 ## Descrição Detecta a execução de binários assinados com certificados incomuns ou recentemente emitidos, correlacionando metadados de publisher anômalos e cadeias de certificados inconsistentes. A telemetria utiliza logs de auditoria do Windows (Event ID 4688, Sysmon Event 1) e inspeção de propriedades de assinatura Authenticode para identificar certificados revogados ou desconhecidos usados em contextos de alto privilégio. Esta analítica é importante pois adversários frequentemente abusam de certificados legítimos mas incomuns para contornar controles de segurança baseados em allowlist de publishers confiáveis. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0643](https://attack.mitre.org/detectionstrategies/DET0230#AN0643)*