det0031-invalid-code-signature-execution-detection-via-metadata-and-behavioral-c

# DET0031 — Invalid Code Signature Execution Detection via Metadata and Behavioral Context ## Descrição Esta estratégia detecta a execução de binários com assinaturas de código inválidas, expiradas, revogadas ou fraudulentas, uma técnica usada por adversários para aparentar legitimidade e contornar controles de execução baseados em assinatura. Inclui cenários como certificados roubados de empresas legítimas, assinaturas auto-assinadas com nomes de empresas reconhecidas (ex: "Microsoft Corporation"), e binários com assinatura válida modificados após a assinatura (quebra de integridade). A verificação de assinatura deve ir além da presença do certificado: válidar a cadeia de confiança completa, verificar o timestamp da assinatura contra a data de revogação do certificado, e comparar o Subject do certificado com o publisher esperado para aquele tipo de arquivo. No Windows, ferramentas como `sigcheck` (Sysinternals) e a API `WinVerifyTrust` expõem esses metadados; EDRs modernos verificam assinaturas em tempo real durante o carregamento. O contexto comportamental complementa a análise de assinatura: um binário com assinatura expirada há anos, executado pela primeira vez no ambiente, em horário atípico, a partir de uma pasta temporária, é combinação muito mais suspeita do que a assinatura inválida por si só. Correlacionar com a reputação do hash (VirusTotal, threat intel feeds) adiciona camada adicional de fidelidade ao alerta. ## Indicadores de Detecção - Binário executado com certificado de assinatura expirado há > 1 ano sem countersignature de timestamp - Assinatura com Subject "Microsoft" ou "Google" emitida por CA não-reconhecida pela Microsoft Root Store - Hash do binário não correspondendo ao conteúdo assinado (integridade violada pós-assinatura) - Certificado de assinatura na lista de revogação (CRL/OCSP) com status revogado - Primeiro uso de binário assinado com certificado nunca visto antes no ambiente - Binário assinado com certificado de empresa legítima executado a partir de `%TEMP%` ou `%APPDATA%` - Certificado com SAN/Subject contendo typosquatting de marca conhecida (ex: "Micros0ft") ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] ## Analytics Relacionadas - [[an0089-analytic-0089|AN0089 — Analytic 0089]] - [[an0090-analytic-0090|AN0090 — Analytic 0090]] --- *Fonte: [MITRE ATT&CK — DET0031](https://attack.mitre.org/detectionstrategies/DET0031)*