# AN1980 — Analytic 1980 ## Descrição Este analítico detecta adversários que adquirem ou roubam certificados SSL/TLS para uso em infraestrutura maliciosa, monitorando certificados recém-emitidos e padrões de negociação TLS associados a componentes de servidor de ferramentas C2. A telemetria inclui logs de tráfego de rede com inspeção de cabeçalhos de protocolo, dados de transparência de certificados e serviços de rastreamento de certificados em uso na Internet para pivotar em informações conhecidas e descobrir infraestrutura adversária adicional. Alguns componentes de servidor de ferramentas adversárias possuem valores padrão predefinidos para certificados SSL/TLS, criando impressões digitais valiosas para detecção de infraestrutura C2. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1587-develop-capabilities|T1587 — Develop Capabilities]] - [[t1588-obtain-capabilities|T1588 — Obtain Capabilities]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN1980](https://attack.mitre.org/detectionstrategies/DET0848#AN1980)*