# AN1972 — Analytic 1972 ## Descrição Esta analítica detecta uso de certificados TLS/SSL adversariais em infraestrutura ativa por meio de serviços de rastreamento de certificados em uso na internet, permitindo pivot em informações de certificado conhecidas (subject, issuer, fingerprint, SANs) para descobrir outras infraestruturas adversariais — com detecção de uso dos certificados focada em protocolos Web Protocols (T1071.001) e Asymmetric Cryptography (T1573.002). A telemetria inclui certificaté transparency logs para novas emissões de certificados com características associadas a adversários conhecidos, análise de fingerprints TLS (JA3/JA3S) no tráfego de rede e correlação de SANs para identificar clusters de domínios adversariais. Esta analítica é de alto valor para rastreamento de infraestrutura de grupos APT que reutilizam certificados ou padrões de emissão ao longo de múltiplas campanhas. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] - [[t1588-obtain-capabilities|T1588 — Obtain Capabilities]] --- *Fonte: [MITRE ATT&CK — AN1972](https://attack.mitre.org/detectionstrategies/DET0840#AN1972)*