det0523-detect-code-signing-policy-modification-windows-macos

# DET0523 — Detect Code Signing Policy Modification (Windows & macOS) ## Descrição A modificação de políticas de assinatura de código ([[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]]) permite que adversários executem binários não assinados ou maliciosos em sistemas que normalmente exigiriam assinatura válida. No Windows, isso envolve alterar configurações do Windows Defender Application Control (WDAC), Code Integrity Policy (CI Policy) ou desabilitar o Secure Boot e Driver Signature Enforcement. No macOS, adversários podem modificar políticas do Gatekeeper, System Integrity Protection (SIP) ou manipular o banco de dados TCC para permitir execução de código não autorizado. No Windows, as alterações de política de CI são persistidas no Registry (`HKLM\SYSTEM\CurrentControlSet\Control\CI\`) e em arquivos de política no EFI/sistema. O uso de ferramentas como `bcdedit` para desabilitar `testsigning` ou `nointegritychecks` é um sinal de alerta imediato. Em macOS, o uso de `csrutil disable` (requer reinicialização em Recovery Mode) ou manipulações do banco de dados de autorização do sistema (`/var/db/auth.db`) indica tentativa de contornar proteções de assinatura. A detecção deve monitorar tanto as modificações de configuração quanto os artefatos resultantes: carregamento de drivers sem assinatura válida, execução de binários com flags de assinatura inválida em logs de auditoria, e tentativas de instalar certificados raiz adicionais no repositório do sistema. A correlação com eventos de reinicialização e alterações de configuração de boot é essencial para detectar modificações que requerem reinício para serem efetivas. ## Indicadores de Detecção - Execução de `bcdedit /set testsigning on` ou `bcdedit /set nointegritychecks on` - Modificação de chave de registro `HKLM\SYSTEM\CurrentControlSet\Control\CI\Config` por processo não-sistema - Carregamento de driver com Event ID 7045 seguido de Event ID 219 (driver com assinatura inválida) - Execução de `csrutil disable` ou comandos de Recovery Mode em macOS (logs de boot) - Instalação de certificado raiz em `HKLM\SOFTWARE\Microsoft\SystemCertificates\Root\` por processo suspeito - Criação de arquivo de política CI (`.p7b`) em localização não-padrão por processo administrativo ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] — técnica principal coberta por esta estratégia - [[t1553-006-code-signing-policy-modification|T1553.006 — Code Signing Policy Modification]] — subtécnica específica - [[t1014-rootkit|T1014 — Rootkit]] — rootkits frequentemente requerem desabilitação de assinatura de driver - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] — modificações de boot relacionadas ao Secure Boot - [[t1562-impair-defenses|T1562 — Impair Defenses]] — desabilitação de controles de segurança correlatos ## Analytics Relacionadas - [[an1446-analytic-1446|AN1446 — Analytic 1446]] - [[an1447-analytic-1447|AN1447 — Analytic 1447]] --- *Fonte: [MITRE ATT&CK — DET0523](https://attack.mitre.org/detectionstrategies/DET0523)*