det0549-detect-suspicious-access-to-private-key-files-and-export-attempts-across

# DET0549 — Detect Suspicious Access to Private Key Files and Export Attempts Across Platforms ## Descrição O roubo de chaves privadas e certificados ([[t1552-004-private-keys|T1552.004 — Private Keys]]) é uma técnica crítica de coleta de credenciais que permite a adversários comprometer autenticação baseada em certificados, descriptografar comúnicações interceptadas, assinar código malicioso com certificados legítimos roubados, ou autenticar-se em serviços que utilizam autenticação por chave pública. Alvos comuns incluem: chaves SSH (`~/.ssh/id_rsa`, `~/.ssh/id_ed25519`), certificados de assinatura de código, certificados SSL/TLS de servidores, chaves de VPN client, chaves PGP e certificados PKI corporativos em stores do sistema. Em Windows, o acesso ao Windows Certificaté Store (`certmgr.msc`, API `CertOpenStore`) e tentativas de exportação via `certutil -exportPFX` ou via a interface MMC são os vetores principais. Em Linux e macOS, o acesso a arquivos com extensões `.pem`, `.key`, `.p12`, `.pfx`, `.ppk` em locais típicos de chaves SSH e certificados deve ser monitorado. A exportação via `openssl pkcs12 -export` ou `ssh-keygen -e` por processos não-esperados é um indicador forte. Grupos de espionagem frequentemente coletam todas as chaves disponíveis no sistema comprometido para uso futuro. A detecção requer auditoria de acesso a arquivos com permissões restritas (600, apenas proprietário) em diretórios de chaves, especialmente quando o processo acessante é diferente do proprietário esperado. Em Windows, eventos de acesso ao Personal Certificaté Store por processos não-administrativos e tentativas de exportação de chaves privadas (flag `CERT_KEY_EXPORTABLE`) são alertas de alta prioridade. A correlação com movimentação de arquivos `.pem`/`.pfx` para diretórios temporários ou compartilhamentos de rede fecha o ciclo de detecção de exfiltração de chaves. ## Indicadores de Detecção - Acesso a `~/.ssh/id_rsa`, `~/.ssh/id_ed25519` ou `~/.ssh/id_ecdsa` por processo diferente de `ssh`, `scp`, `sftp` ou agente SSH - Leitura de arquivo com extensão `.pem`, `.key`, `.p12`, `.pfx`, `.ppk` por processo não-esperado (ex: processo Office, script de usuário) - Execução de `certutil -exportPFX` ou `certutil -store` por conta de usuário não-administrativa - `openssl pkcs12 -export` ou `openssl rsa -out` executado em arquivos de certificado de sistema - Event ID 4663 (acesso a objeto) em arquivo de chave privada por processo não no baseline aprovado - Cópia de arquivo de chave (`.pem`, `.key`, `.p12`) para diretório `%TEMP%`, `C:\Users\Public\` ou compartilhamento de rede ## Técnicas Relacionadas - [[t1552-004-private-keys|T1552.004 — Private Keys]] — técnica principal coberta por esta estratégia - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] — família ampla de coleta de credenciais - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] — roubo de credenciais armazenadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] — técnica complementar de roubo de credenciais de sessão - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] — empacotamento das chaves roubadas antes da exfiltração ## Analytics Relacionadas - [[an1516-analytic-1516|AN1516 — Analytic 1516]] - [[an1517-analytic-1517|AN1517 — Analytic 1517]] - [[an1518-analytic-1518|AN1518 — Analytic 1518]] - [[an1519-analytic-1519|AN1519 — Analytic 1519]] --- *Fonte: [MITRE ATT&CK — DET0549](https://attack.mitre.org/detectionstrategies/DET0549)*