det0240-detection-strategy-for-steal-or-forge-authentication-certificates

# DET0240 — Detection Strategy for Steal or Forge Authentication Certificates ## Descrição Esta estratégia detecta o roubo ou falsificação de certificados de autenticação usados em ambientes PKI corporativos, Active Directory Certificaté Services (ADCS) e sistemas de autenticação baseados em certificados. Adversários exploram configurações fracas de ADCS para emitir certificados fraudulentos que permitem autenticação persistente como qualquer usuário do domínio. Vulnerabilidades como ESC1-ESC8 no ADCS permitem que usuários com poucos privilégios solicitem certificados em nome de outros usuários ou com extensions que concedem privilégios elevados. O ataque DPERSIST1/2 usa certificados para manter persistência mesmo após reset de senha. O monitoramento de solicitações de certificados anômalas e exportações de certificados existentes é crítico. A telemetria requer auditoria de ADCS (Event IDs 4886, 4887, 4888 no CA), monitoramento de exportação de certificados com chave privada (pfx), e alertas para templates de certificado com atributos que permitem específicar Subject Alternative Names (SAN). ## Indicadores de Detecção - Solicitação de certificado via templaté que permite específicar SAN arbitrário por usuário não admin - Exportação de certificado com chave privada (`.pfx`, `.p12`) por processo não pertencente a gestão de PKI - Event ID 4886 (Certificado solicitado) com Subject diferente da conta requisitante - Uso de ferramenta Certify, Certipy ou similar detectado via linha de comando ou hash - Autenticação Kerberos usando certificado emitido por CA interna mas não registrado no AD - Novo templaté de certificado criado em ADCS com flags `CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT` ## Técnicas Relacionadas - [[t1649-steal-or-forge-authentication-certificates|T1649 — Steal or Forge Authentication Certificates]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[T1552.004-private-keys|T1552.004 — Private Keys]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[T1550.001-application-access-token|T1550.001 — Application Access Token]] ## Analytics Relacionadas - [[an0671-analytic-0671|AN0671 — Analytic 0671]] - [[an0672-analytic-0672|AN0672 — Analytic 0672]] - [[an0673-analytic-0673|AN0673 — Analytic 0673]] - [[an0674-analytic-0674|AN0674 — Analytic 0674]] --- *Fonte: [MITRE ATT&CK — DET0240](https://attack.mitre.org/detectionstrategies/DET0240)*