det0230-detect-suspicious-or-malicious-code-signing-abuse

# DET0230 — Detect Suspicious or Malicious Code Signing Abuse ## Descrição Esta estratégia detecta o abuso de assinaturas de código para contornar controles de execução e ganhar aparência de legitimidade. Adversários obtêm certificados de assinatura via roubo (de empresa comprometida), compra fraudulenta, ou uso de CAs mal configuradas para assinar malware — tornando-os difíceis de bloquear por políticas baseadas em publisher. Os vetores incluem: certificados de assinatura roubados de fabricantes legítimos (como ocorreu com NVIDIA e Samsung em 2022), uso de certificados auto-assinados com nomes que imitam empresas conhecidas, e assinatura de drivers maliciosos usando certificados EV para bypass do Windows Driver Signing. O monitoramento de uso de certificados pouco conhecidos ou recém-emitidos é central. A telemetria requer análise de Authenticode em binários executados, logs de Certificaté Transparency para detectar novos certificados de assinatura emitidos para domínios suspeitos, e correlação de hash de certificado com reputation feeds de threat intel. ## Indicadores de Detecção - Binário assinado com certificado cujo emissor não consta em lista de CAs corporativas aprovadas - Certificado com válidade extremamente curta (< 30 dias) usado para assinar executável - Mesmo certificado assinando binários com hashes completamente diferentes em curto período - Arquivo PE assinado com timestamp anterior à data de compilação do binário - Certificado de driver com Subject Organisation diferente do vendor declarado no cabeçalho - Certificado revogado ainda sendo usado para execução (bypass de verificação de CRL/OCSP) ## Técnicas Relacionadas - [[T1553.002-code-signing|T1553.002 — Code Signing]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0643-analytic-0643|AN0643 — Analytic 0643]] - [[an0644-analytic-0644|AN0644 — Analytic 0644]] --- *Fonte: [MITRE ATT&CK — DET0230](https://attack.mitre.org/detectionstrategies/DET0230)*