det0056-detection-strategy-for-subvert-trust-controls-via-install-root-certifica

# DET0056 — Detection Strategy for Subvert Trust Controls via Install Root Certificaté ## Descrição Esta estratégia detecta a instalação maliciosa de certificados raiz (root certificates) no repositório de confiança do sistema operacional ou de navegadores para subverter controles de válidação TLS. Adversários instalam certificados de CA controlados por eles para realizar ataques de interceptação TLS (man-in-the-middle), assinar malware de forma que pareça legítimo, ou contornar válidações de certificado em aplicações críticas. Alinhada a [[T1553.004-subvert-trust-controls-install-root-certificate]], a técnica é executada via `certutil -addstore Root`, `certmgr.msc`, comandos PowerShell (`Import-Certificaté`), ou através de GPO em ambientes de domínio. Malware de espionagem e agentes de estado frequentemente instalam certificados de CA próprios para interceptar tráfego cifrado de alvos monitorados — prática documentada em campanhas contra infraestrutura crítica e governo. A telemetria deve monitorar modificações ao repositório de certificados do sistema (Sysmon EID 12/13 para registro, Event ID 70 do CertSvc), execuções de `certutil.exe` com parâmetros de adição de certificado, e importações de certificados via PowerShell ou WMI. A presença de um novo certificado raiz não pertencente a CAs públicas reconhecidas (Mozilla, Microsoft) é de alta confiança. ## Indicadores de Detecção - Execução de `certutil.exe -addstore Root` ou `-addstore CA` por processo não-administrativo - Importação de certificado via `Import-Certificaté -CertStoreLocation Cert:\LocalMachine\Root` - Novo certificado adicionado a `HKLM\SOFTWARE\Microsoft\SystemCertificates\Root\Certificates\` - Certificado raiz instalado com Subject diferente de CAs reconhecidas públicamente - Adição de certificado raiz via GPO (`certutil -enterprise -addstore Root`) em controlador de domínio ## Técnicas Relacionadas - [[T1553.004-subvert-trust-controls-install-root-certificate]] — técnica primária detectada - [[t1553-subvert-trust-controls|T1553-subvert-trust-controls]] — categoria pai de subversão de controles de confiança - [[t1557-adversary-in-the-middle|T1557-adversary-in-the-middle]] — interceptação TLS habilitada pelo certificado malicioso - [[T1036.001-masquerading-invalid-code-signature]] — assinatura de malware com CA falsa - [[t1485-data-destruction|T1485-data-destruction]] — destruição após comprometimento facilitado por MitM ## Analytics Relacionadas - [[an0153-analytic-0153|AN0153 — Analytic 0153]] - [[an0154-analytic-0154|AN0154 — Analytic 0154]] - [[an0155-analytic-0155|AN0155 — Analytic 0155]] --- *Fonte: [MITRE ATT&CK — DET0056](https://attack.mitre.org/detectionstrategies/DET0056)*