# DET0831 — Detection of Digital Certificates ## Descrição Adversários investigam os certificados digitais TLS/SSL de uma organização para obter informações sobre sua infraestrutura — subdomínios não divulgados públicamente, tecnologias de servidor, datas de expiração e relações entre diferentes serviços. O Certificaté Transparency (CT) logs, uma infraestrutura pública que registra todos os certificados TLS emitidos, é uma fonte primária para essa coleta de informação, permitindo a descoberta de subdomínios e serviços que não aparecem em DNS público. Grupos como [[g0016-apt29]] e [[g1017-volt-typhoon]] utilizam CT logs para mapear a superfície de ataque de organizações antes de iniciar operações. Além do reconhecimento, adversários também criam certificados TLS maliciosos para suas próprias infraestruturas de phishing e C2, obtendo certificados legítimos de CAs públicas para domínios de typosquatting ou usando CAs comprometidas para emitir certificados fraudulentos para domínios legítimos. O monitoramento de CT logs em busca de certificados novos emitidos para domínios similares ao da organização (typosquatting) é uma técnica de defesa proativa importante, relacionada a [[T1596.003-search-open-technical-databases-digital-certificates]]. A detecção deve incluir monitoramento contínuo de CT logs para novos certificados emitidos para o domínio da organização (identificar subdomínios inesperados ou certificados em nomes similares para detectar phishing), alertas para certificados próximos de expiração que possam ser explorados em downgrade attacks, e análise de certificados utilizados por conexões de entrada para identificar certificados autoassinados ou de CAs não confiáveis em comúnicações de suposto parceiro. ## Indicadores de Detecção - Novos certificados emitidos para subdomínios da organização em CT logs sem correspondência com mudanças planejadas - Certificados emitidos para domínios de typosquatting similares ao domínio corporativo (monitoramento de CT logs) - Certificados TLS autoassinados ou de CAs não reconhecidas em conexões de entrada de parceiros - Certificados expirados ou próximos de expiração em serviços expostos identificados via scan de superfície de ataque - Emissão de certificado para domínio da organização por CA não autorizada (detectável via CAA record) - Conexões HTTPS com certificados de domínios registrados há menos de 7 dias (indicativo de phishing) - Wildcard certificates emitidos para o domínio da organização por entidades não autorizadas ## Técnicas Relacionadas - [[T1596.003-search-open-technical-databases-digital-certificates]] — busca de certificados em CT logs - [[T1588.004-obtain-capabilities-digital-certificates]] — obtenção de certificados para infraestrutura de ataque - [[T1553.004-subvert-trust-controls-install-root-certificate]] — instalação de certificado raiz malicioso - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — C2 via HTTPS com certificados aparentemente legítimos - [[t1598-phishing-for-information|T1598-phishing-for-information]] — phishing com sites HTTPS usando certificados de typosquatting ## Analytics Relacionadas - [[an1963-analytic-1963|AN1963 — Analytic 1963]] --- *Fonte: [MITRE ATT&CK — DET0831](https://attack.mitre.org/detectionstrategies/DET0831)*