# AN2007 — Analytic 2007 ## Descrição Este analítico detecta a aquisição de certificados de assinatura de código por adversários para uso na legitimação de payloads maliciosos, analisando características dos certificados como thumbprint, algoritmo utilizado, período de válidade, nome comum e autoridade certificadora. A telemetria inclui repositórios de malware para identificar amostras adicionais associadas ao adversário, dados de certificados para pivotar em características conhecidas e rastrear padrões de aquisição de certificados ao longo do tempo. O analítico é essencial porque certificados de assinatura de código válidos são ferramentas poderosas de evasão que permitem aos adversários fazer seus payloads maliciosos parecerem software legítimo, contornando controles baseados em assinatura e políticas de execução. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1587-develop-capabilities|T1587 — Develop Capabilities]] - [[t1588-obtain-capabilities|T1588 — Obtain Capabilities]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN2007](https://attack.mitre.org/detectionstrategies/DET0875#AN2007)*