# DET0833 — Detection of Code Signing Certificates ## Descrição Certificados de assinatura de código são utilizados por adversários para assinar digitalmente malware e ferramentas ofensivas, tornando-os aparentemente legítimos para sistemas operacionais e soluções de segurança que confiam em assinaturas digitais válidas. A obtenção de certificados pode ocorrer via compra usando identidades falsas ou roubadas, comprometimento de organizações legítimas para roubar seus certificados de assinatura (como o caso da Nvidia e Samsung comprometidos pelo [[lapsus-group]]), ou uso de certificados expirados que ainda são aceitos por alguns sistemas. Grupos como [[g0096-apt41]], [[g0032-lazarus-group]] e [[g0020-equation-group]] utilizam certificados roubados ou fraudulentos para contornar controles de segurança. A confiança implícita em binários assinados é explorada por adversários para bypass de Application Whitelisting, redução de detecção por AV/EDR e ganho de confiança de usuários que verificam assinaturas digitais. No contexto de supply chain attacks, a comprometimento do processo de build de um fornecedor permite que malware sejá assinado com o certificado legítimo da empresa — tornando a detecção extremamente difícil para organizações que usam os produtos afetados. A técnica é mapeada em [[T1553.002-subvert-trust-controls-code-signing]]. A detecção deve incluir monitoramento de binários assinados com certificados de organizações que não deveriam produzir aquele tipo de software, alertas para certificados de assinatura de código revogados que ainda são usados em binários em circulação, e correlação de assinatura de certificado com comportamento do binário em sandbox — um binário assinado com comportamento malicioso é um indicador forte de certificado comprometido ou mal utilizado. Verificar o registro de transparência de certificados de code signing é uma prática proativa recomendada. ## Indicadores de Detecção - Binários assinados com certificados revogados ou expirados executados em endpoints - Software assinado por entidade que não deveria produzir aquele tipo de executável (ex: certificado de empresa de manufatura assinando ferramenta de segurança) - Certificados de code signing emitidos para organizações que tiveram breach recente aparecendo em amostras maliciosas - Hashes de certificados de assinatura correlacionados com IoCs de campanhas APT conhecidas - Múltiplos binários maliciosos diferentes assinados com o mesmo certificado comprometido - Certificado de code signing da própria organização utilizado em binários não produzidos internamente - Alertas de CT logs de code signing para novos certificados emitidos em nome da organização ## Técnicas Relacionadas - [[T1553.002-subvert-trust-controls-code-signing]] — uso de code signing para bypass de controles - [[T1588.003-obtain-capabilities-code-signing-certificates]] — obtenção de certificados de assinatura - [[t1195-supply-chain-compromise|T1195-supply-chain-compromise]] — comprometimento de supply chain para acesso a certificados legítimos - [[t1036-masquerading|T1036-masquerading]] — uso de certificados para mascarar malware como software legítimo - [[t1562-impair-defenses|T1562-impair-defenses]] — bypass de AV/EDR via binários assinados ## Analytics Relacionadas - [[an1965-analytic-1965|AN1965 — Analytic 1965]] --- *Fonte: [MITRE ATT&CK — DET0833](https://attack.mitre.org/detectionstrategies/DET0833)*