# DET0848 — Detection of Digital Certificates ## Descrição A estratégia DET0848 complementa a DET0844 ao focar específicamente na detecção de reconhecimento adversarial sobre certificados digitais de organizações alvo. Adversários consultam bases de dados de Certificaté Transparency (CT logs), como crt.sh e censys.io, para descobrir subdomínios, infraestrutura interna exposta e padrões de certificação que revelam a arquitetura da organização. Informações obtidas de certificados digitais públicos incluem nomes de subdomínios listados no Subject Alternative Name (SAN), datas de expiração que indicam janelas de oportunidade para ataques de expiração, e relacionamentos entre certificados que mapeiam a infraestrutura completa. Grupos APT utilizam sistematicamente essas consultas como parte do reconhecimento pré-intrusão. Organizações devem monitorar alertas de novos certificados emitidos para seus domínios via serviços como Cert Spotter ou Facebook CT Monitor, além de correlacionar dados de CT logs com registros DNS internos para identificar exposições não intencionais de infraestrutura sensível. ## Indicadores de Detecção - Consulta a CT logs para domínios corporativos a partir de IP associado a atividade de reconhecimento - Certificado emitido para subdomínio interno (dev, uat, staging) descoberto via enumeração de CT - Múltiplos certificados para variações tipográficas do domínio corporativo (typosquatting) - Certificado com SAN listando infraestrutura interna que não deveria ser pública - Alerta de emissão de certificado para domínio similar ao corporativo por CA pública - Expiração iminente de certificado crítico sem processo de renovação iniciado - Descoberta de wildcard certificaté em uso para múltiplos serviços críticos ## Técnicas Relacionadas - [[T1596.003-digital-certificates|T1596.003 — Search Open Technical Databases: Digital Certificates]] - [[T1587.003-certificates|T1587.003 — Develop Capabilities: Digital Certificates]] - [[T1588.004-certificates|T1588.004 — Obtain Capabilities: Digital Certificates]] - [[T1608.003-install-digital-certificate|T1608.003 — Stage Capabilities: Install Digital Certificaté]] - [[T1590.001-domain-properties|T1590.001 — Gather Victim Network Information: Domain Properties]] - [[T1553.002-code-signing|T1553.002 — Subvert Trust Controls: Code Signing]] ## Analytics Relacionadas - [[an1980-analytic-1980|AN1980 — Analytic 1980]] --- *Fonte: [MITRE ATT&CK — DET0848](https://attack.mitre.org/detectionstrategies/DET0848)*