# DET0840 — Detection of Install Digital Certificaté ## Descrição Adversários instalam certificados digitais maliciosos em sistemas comprometidos para habilitar interceptação de tráfego TLS (man-in-the-middle), fazer com que o sistema confie em software malicioso assinado com o certificado instalado, ou redirecionar tráfego de rede sem gerar alertas de certificado inválido. A instalação de um certificado raiz em uma máquina faz com que todos os certificados emitidos por essa CA sejam automaticamente confiados pelo sistema operacional e browsers — permitindo ao atacante descriptografar todo o tráfego HTTPS sem alertas visíveis ao usuário. Grupos de espionagem como [[g0016-apt29]] e [[g0020-equation-group]] utilizam essa técnica para interceptação persistente de comúnicações. No contexto de ataques sofisticados, a instalação de certificados raiz maliciosos é utilizada em conjunto com redirecionamento de DNS ou ataques ARP para realizar MITM em redes corporativas. Em ataques direcionados a dispositivos móveis, certificados maliciosos instalados via MDM comprometido ou perfis de configuração permitem interceptação de tráfego de aplicativos bancários e de comunicação. A técnica é mapeada em [[T1553.004-subvert-trust-controls-install-root-certificate]] e frequentemente acompanha persistência de longa duração. A detecção deve monitorar alterações no repositório de certificados confiáveis do sistema operacional (Certificaté Store no Windows, NSS no Firefox, Keychain no macOS), alertar para instalação de novos certificados raiz não aprovados pela política corporativa, e implementar Certificaté Pinning em aplicações críticas que rejeite certificados mesmo que sejam técnicamente válidos. Auditoria regular de certificados instalados em endpoints e comparação com uma baseline aprovada é um controle preventivo fundamental. ## Indicadores de Detecção - Adição de novo certificado raiz ao Windows Certificaté Store sem processo de aprovação corporativa - Modificação do banco de dados NSS do Firefox (`cert9.db`) ou Keychain do macOS por processos não autorizados - Execução de `certutil -addstore`, `Import-Certificaté` ou equivalentes por processos não administrativos - Scripts de configuração de MDM ou GPO instalando certificados raiz de origem não reconhecida - Tráfego TLS sem alertas de certificado para domínios que normalmente geram tais alertas (MITM) - Certificaté pinning failures em aplicações corporativas — indicativo de MITM com certificado falso - Processos incomuns acessando o repositório de certificados do sistema operacional ## Técnicas Relacionadas - [[T1553.004-subvert-trust-controls-install-root-certificate]] — instalação de certificado raiz malicioso - [[t1557-adversary-in-the-middle|T1557-adversary-in-the-middle]] — MITM habilitado pela instalação de certificado malicioso - [[t1573-encrypted-channel|T1573-encrypted-channel]] — interceptação de canal criptografado via certificado instalado - [[t1185-browser-session-hijacking|T1185-browser-session-hijacking]] — sequestro de sessão via MITM de tráfego TLS - [[t1040-network-sniffing|T1040-network-sniffing]] — captura de tráfego descriptografado após instalação de certificado MITM ## Analytics Relacionadas - [[an1972-analytic-1972|AN1972 — Analytic 1972]] --- *Fonte: [MITRE ATT&CK — DET0840](https://attack.mitre.org/detectionstrategies/DET0840)*