# AN1965 — Analytic 1965 ## Descrição Esta analítica detecta uso de certificados de assinatura de código auto-assinados por adversários por meio de análise de características do certificado — thumbprint, algoritmo utilizado, período de válidade, common name — correlacionadas com repositórios de malware para identificar padrões em certificados fraudulentos criados pelo adversário; a detecção direta ocorre nas fases Code Signing (T1553.002) e Install Root Certificaté (T1553.004). A telemetria inclui monitoramento de certificaté transparency logs para emissões de certificados EV/OV suspeitas, análise de certificados em amostras de malware submetidas a sandboxes e correlação de thumbprints de certificados com indicadores de ameaça conhecidos em threat intelligence platforms. Esta detecção é importante porque certificados de assinatura de código permitem ao malware contornar controles de execução baseados em confiança de assinatura. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1588-obtain-capabilities|T1588 — Obtain Capabilities]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1965](https://attack.mitre.org/detectionstrategies/DET0833#AN1965)*