# DET0844 — Detection of Digital Certificates ## Descrição A estratégia DET0844 foca na detecção de atividades relacionadas à obtenção ou manipulação de certificados digitais por adversários. Certificados digitais são frequentemente adquiridos por agentes maliciosos para assinar código malicioso, estabelecer infraestrutura de comando e controle (C2) com certificados TLS aparentemente legítimos, ou conduzir ataques de phishing com domínios visualmente confiáveis. Adversários exploram autoridades certificadoras (CAs) legítimas — incluindo serviços gratuitos como Let's Encrypt — para obter certificados válidos, dificultando a detecção por sistemas que confiam exclusivamente na cadeia de confiança PKI. Grupos de ameaças avançadas também roubam certificados de assinatura de código de fabricantes legítimos para evitar detecção por soluções EDR e antivírus. A detecção eficaz requer monitoramento de logs de Certificaté Transparency (CT), análise de anomalias em emissões de certificados para domínios recém-registrados, e correlação com feeds de inteligência de ameaças que rastreiam infraestrutura maliciosa conhecida. ## Indicadores de Detecção - Emissão de certificado TLS para domínio com menos de 30 dias de registro - Certificado de assinatura de código utilizado por processo não reconhecido ou com baixa prevalência - Múltiplos certificados emitidos para variações de domínio de marca conhecida (typosquatting) - Certificado auto-assinado em comunicação de processo do sistema operacional - Alteração súbita de certificado em servidor de infraestrutura crítica - Uso de certificado expirado ou revogado em conexão TLS ativa - Certificado emitido por CA não confiável ou CA pública para endereço IP interno ## Técnicas Relacionadas - [[T1587.003-certificates|T1587.003 — Develop Capabilities: Digital Certificates]] - [[T1588.004-certificates|T1588.004 — Obtain Capabilities: Digital Certificates]] - [[T1553.002-code-signing|T1553.002 — Subvert Trust Controls: Code Signing]] - [[t1071-001-web-protocols|T1071.001 — Application Layer Protocol: Web Protocols]] - [[t1566-002-spearphishing-link|T1566.002 — Phishing: Spearphishing Link]] - [[T1608.003-install-digital-certificate|T1608.003 — Stage Capabilities: Install Digital Certificaté]] ## Analytics Relacionadas - [[an1976-analytic-1976|AN1976 — Analytic 1976]] --- *Fonte: [MITRE ATT&CK — DET0844](https://attack.mitre.org/detectionstrategies/DET0844)*