det0442-detection-strategy-for-subvert-trust-controls-using-sip-and-trust-provid

# DET0442 — Detection Strategy for Subvert Trust Controls using SIP and Trust Provider Hijacking. ## Descrição SIP (Subject Interface Package) e Trust Providers são componentes do Windows responsáveis por válidar assinaturas digitais de arquivos executáveis e outros objetos. Adversários sofisticados manipulam esses mecanismos registrando SIPs ou Trust Providers maliciosos no registro do Windows, de modo a fazer o sistema aceitar arquivos não assinados ou maliciosamente assinados como se fossem legítimos — subvertendo os controles de integridade de código. Essa técnica é particularmente perigosa porque afeta diretamente a capacidade do sistema operacional de verificar a autenticidade de código executado. Um SIP malicioso pode retornar resultados de verificação de assinatura falsos positivos para qualquer arquivo, permitindo que malware execute mesmo em ambientes com políticas rígidas de execução de código assinado. Ferramentas como `Authenticode` e mecanismos de verificação de drivers são afetados. A detecção foca em monitorar modificações nas chaves de registro que mapeiam SIPs e Trust Providers (`HKLM\SOFTWARE\Microsoft\Cryptography\OID\`), identificar carregamento de DLLs não assinadas nesses contextos e correlacionar eventos de modificação de registro com subsequente execução de binários anteriormente rejeitados por controles de integridade. ## Indicadores de Detecção - Modificação em `HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDll*` por processo não-sistema - Registro de nova DLL como SIP ou Trust Provider com hash desconhecido ou não assinado - Processo modificando chaves de Trust Provider sem contexto de instalação de software legítimo - DLL carregada em contexto de verificação de assinatura com caminho incomum ou sem assinatura Microsoft - Sysmon evento 13 (RegistryValueSet) em chaves de SIP/Trust Provider por processo suspeito - Subsequente execução de arquivo PE sem assinatura válida após modificação de SIP ## Técnicas Relacionadas - [[T1553003-sip-and-trust-provider-hijacking|T1553.003 — SIP and Trust Provider Hijacking]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[T1218-signed-binary-proxy-execution|T1218 — Signed Binary Proxy Execution]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an1222-analytic-1222|AN1222 — Analytic 1222]] --- *Fonte: [MITRE ATT&CK — DET0442](https://attack.mitre.org/detectionstrategies/DET0442)*