det0452-detect-subversion-of-trust-controls-via-certificate-registry-and-attribu

# DET0452 — Detect Subversion of Trust Controls via Certificaté, Registry, and Attribute Manipulation ## Descrição Os controles de confiança do sistema operacional dependem de uma hierarquia de certificados digitais, configurações de registro e atributos de arquivos para verificar a autenticidade e integridade de código executado. Adversários sofisticados subvertem esses controles manipulando diretamente os repositórios de certificados (adicionando CAs fraudulentas), modificando valores de registro que controlam políticas de execução de código, ou alterando atributos de arquivos para contornar verificações de integridade. A adição de certificados raiz fraudulentos ao repositório de autoridades certificadoras confiáveis (`HKLM\SOFTWARE\Microsoft\SystemCertificates\Root`) permite que o adversário assine código malicioso com certificados que o sistema operacional considerará válidos. Modificações em políticas de AppLocker, WDAC (Windows Defender Application Control) ou em atributos de Zone Identifier de arquivos baixados são também vetores de subversão de confiança. A estratégia de detecção foca em monitorar adições ao repositório de certificados raiz confiáveis, modificações em políticas de execução de código e alterações de atributos de arquivo que removam marcadores de origem (como o Zone Identifier que indica que um arquivo foi baixado da internet). ## Indicadores de Detecção - Adição de novo certificado raiz ao repositório `HKLM\SOFTWARE\Microsoft\SystemCertificates\Root` por processo não-sistema - Modificação de políticas AppLocker ou WDAC via `Set-AppLockerPolicy` ou edição direta de chaves de registro - Remoção do Alternate Data Stream `Zone.Identifier` de arquivos recém-baixados por processo automatizado - Certificado adicionado com CN ou Issuer que imita CAs legítimas mas não corresponde a CA reconhecida - Evento Windows 4886 (certificado solicitado) ou 4887 (certificado emitido) para CA interna não autorizada - Modificação de `HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy` relacionada a WDAC ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[T1553004-install-root-certificate|T1553.004 — Install Root Certificaté]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an1246-analytic-1246|AN1246 — Analytic 1246]] - [[an1247-analytic-1247|AN1247 — Analytic 1247]] - [[an1248-analytic-1248|AN1248 — Analytic 1248]] --- *Fonte: [MITRE ATT&CK — DET0452](https://attack.mitre.org/detectionstrategies/DET0452)*