det0875-detection-of-code-signing-certificates

# DET0875 — Detection of Code Signing Certificates ## Descrição A estratégia DET0875 trata específicamente da detecção de uso adversarial de certificados de assinatura de código — distintos dos certificados TLS. Certificados de code signing são usados para assinar executáveis e scripts, conferindo aparência de legitimidade e frequentemente contornando controles de segurança que confiam em assinatura digital, como Windows SmartScreen, políticas de execução do macOS e soluções EDR configuradas para permitir software assinado. Adversários obtêm certificados de code signing de três formas: comprando certificados legítimos com identidades falsas ou roubadas, roubando certificados de organizações legítimas (como no caso do Stuxnet que usou certificados roubados da Realtek e JMicron), ou comprometendo a infraestrutura de uma CA. O impacto de software malicioso com assinatura válida é severo, pois bypassa controles de confiança em toda a cadeia de supply chain de software. A detecção requer monitoramento de certificados de code signing recém-emitidos para entidades desconhecidas, verificação de revogação de certificados antes de executar software assinado, análise de prevalência de software assinado (arquivo assinado por certificado pouco utilizado é suspeito), e correlação com feeds de threat intelligence sobre certificados comprometidos ou abusados. ## Indicadores de Detecção - Arquivo executável assinado por certificado emitido a empresa sem histórico ou presença verificável - Certificado de code signing com data de emissão recente e curto período de válidade - Software assinado com certificado já revogado ou expirado sendo executado em ambiente corporativo - Hash de certificado de assinatura listado em feeds de inteligência como comprometido ou abusado - Baixíssima prevalência de arquivo assinado por determinado certificado em telemetria global - Certificado de code signing usado para assinar arquivo com características de malware (nome, caminho) - Script PowerShell ou VBScript assinado por certificado não pertencente a fornecedor de software reconhecido ## Técnicas Relacionadas - [[T1588.003-code-signing-certificates|T1588.003 — Obtain Capabilities: Code Signing Certificates]] - [[T1587.002-code-signing-certificates|T1587.002 — Develop Capabilities: Code Signing Certificates]] - [[T1553.002-code-signing|T1553.002 — Subvert Trust Controls: Code Signing]] - [[T1195.002-compromise-software-supply-chain|T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain]] - [[T1027.002-software-packing|T1027.002 — Obfuscated Files: Software Packing]] - [[T1036.001-invalid-code-signature|T1036.001 — Masquerading: Invalid Code Signature]] ## Analytics Relacionadas - [[an2007-analytic-2007|AN2007 — Analytic 2007]] --- *Fonte: [MITRE ATT&CK — DET0875](https://attack.mitre.org/detectionstrategies/DET0875)*