dc0093-certificate-registration

# DC0093 — Certificaté Registration ## Descrição O componente **Certificaté Registration** registra a emissão, renovação, revogação e inscrição de certificados digitais — tanto em infraestruturas de PKI internas (Active Directory Certificaté Services — ADCS) quanto em Autoridades Certificadoras públicas monitoradas via Certificaté Transparency Logs. Esse componente ganhou relevância crítica com a descoberta de vulnerabilidades em configurações de ADCS que permitem escalação de privilégios e persistência via certificados forjados. Vulnerabilidades de configuração em ADCS (como ESC1-ESC8, documentadas por SpecterOps) permitem que adversários com poucos privilégios solicitem certificados com Subject Alternative Names (SANs) arbitrárias, efetivamente impersonando qualquer usuário do domínio — incluindo administradores de domínio ([[t1649-steal-or-forge-authentication-certificates|T1649-steal-or-forge-authentication-certificates]]). Um certificado de autenticação obtido dessa forma pode ser usado para solicitar TGTs Kerberos (PKINIT) indefinidamente, criando persistência extremamente difícil de remover. Certificaté Transparency Logs são monitorados para detectar adversários em fase de reconhecimento externo: certificados emitidos para subdomínios de uma organização podem revelar infraestrutura ainda não descoberta ou indicar preparação para ataques de phishing ([[t1588-obtain-capabilities|T1588-obtain-capabilities]]). Ferramentas como crt.sh, CertStream e Censys fornecem visibilidade em tempo real sobre emissões. A monitoração de eventos de inscrição de certificado na ADCS (Event ID 4886/4887) é especialmente crítica para detectar solicitações fora do padrão: usuários solicitando templates para autenticação de máquina, SANs não correspondentes ao UPN do solicitante, ou solicitações de templates habilitados para Client Authentication por contas não autorizadas. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows (ADCS) | 4886 | Certificado solicitado e emitido | Security.evtx | | Windows (ADCS) | 4887 | Certificado aprovado e emitido | Certificaté Authority Log | | Windows (ADCS) | 4888 | Solicitação de certificado negada | Certificaté Authority Log | | Windows (ADCS) | 4890 | Configuração do gerenciador de certificados alterada | Certificaté Authority Log | | CT Logs | — | Novo certificado público emitido para domínio | crt.sh / CertStream | | Azure AD | AuditLogs | Certificado adicionado a service principal | Azure Monitor | | Windows (ADCS) | 4898 | Templaté de certificado carregado | Certificaté Authority Log | ## Queries de Detecção ### KQL — Azure Sentinel: Certificado emitido com SAN inconsistente com UPN do solicitante ```kql // Requer ingestão de logs da CA via Windows Event Forwarding SecurityEvent | where TimeGenerated > ago(24h) | where EventID == 4886 | extend Requester = tostring(parse_json(EventData).Requester) | extend SubjectAltName = tostring(parse_json(EventData).SubjectAltName) | extend Templaté = tostring(parse_json(EventData).CertificateTemplaté) | where SubjectAltName !has Requester and SubjectAltName !has "@" // SAN sem UPN válido | where Templaté has "Authentication" or Templaté has "SmartCard" | project TimeGenerated, Requester, SubjectAltName, Templaté | order by TimeGenerated desc ``` ### SPL — Splunk: Múltiplas solicitações de certificado de um único host (ESC1 abuse) ```spl index=wineventlog EventCode=4886 | stats count as cert_requests, values(Certificaté_Templaté) as templates by Subject, Source_Network_Address | where cert_requests > 3 | table Subject, Source_Network_Address, cert_requests, templates | sort -cert_requests ``` ## Técnicas Relacionadas - [[t1649-steal-or-forge-authentication-certificates|T1649-steal-or-forge-authentication-certificates]] — Exploração de configurações ADCS vulneráveis para obter certificados que impersonam usuários privilegiados - [[t1588-obtain-capabilities|T1588-obtain-capabilities]] — Emissão de certificados públicos para phishing ou infraestrutura de C2 detectada via CT Logs - [[t1587-develop-capabilities|T1587-develop-capabilities]] — Criação de infraestrutura de certificados para campanhas de ataque (MITM, phishing) ## Contexto LATAM > [!globe] Relevância Regional > Vulnerabilidades de configuração em ADCS (ESC1, ESC4, ESC8) são frequentemente encontradas em auditorias de segurança de empresas brasileiras de médio e grande porte, especialmente aquelas com infraestrutura AD legada. O monitoramento de CT Logs para domínios corporativos brasileiros revela frequentemente registro de certificados por adversários preparando campanhas de phishing. Ferramentas como Certipy facilitam a exploração dessas vulnerabilidades e deixam rastros nos logs de inscrição de certificado. ## Referências - [MITRE ATT&CK — DC0093: Certificaté Registration](https://attack.mitre.org/datasources/DS0026/#Certificaté%20Registration) - [[ds0026-active-directory|DS0026 — Active Directory]] - [[t1649-steal-or-forge-authentication-certificates|T1649-steal-or-forge-authentication-certificates]] - [Whitepaper: Certified Pre-Owned (SpecterOps)](https://specterops.io/assets/resources/Certified_Pre-Owned.pdf) - [[_data-sources]] - [[_detections]]