# T1553.004 - Install Root Certificaté > [!danger] Impacto Crítico na Cadeia de Confiança > A instalação de um certificado raiz malicioso destrói a base da confiança TLS/SSL no sistema comprometido. Uma vez instalado, o adversário pode decifrar, modificar e reinjetar **qualquer** tráfego HTTPS - incluindo credenciais bancárias, tokens OAuth, VPN e comúnicações corporativas - sem que o usuário ou o browser exiba qualquer alerta. ## Descrição **Install Root Certificaté** (T1553.004) é uma sub-técnica de [[t1553-subvert-trust-controls|Subvert Trust Controls]] na qual adversários instalam um certificado de autoridade raiz (CA) desonesto no armazenamento de certificados confiáveis do sistema, habilitando ataques de **interceptação TLS/SSL (MITM)** sem disparar alertas no navegador ou nas aplicações. ### Como a cadeia de confiança funciona Certificados TLS operam em hierarquia: uma CA Raiz assina CAs Intermediárias, que assinam certificados de sites. Browsers e sistemas operacionais mantêm um **Trust Store** - uma lista pré-aprovada de CAs Raiz confiáveis (ex: DigiCert, Let's Encrypt, Sectigo). Quando um site apresenta um certificado assinado por uma CA fora deste store, o browser exibe o temido aviso "A sua conexão não é privada". Ao instalar um certificado CA malicioso no Trust Store do sistema, o adversário passa a poder: 1. **Emitir certificados falsos** para qualquer domínio (google.com, banco.com.br, vpn.empresa.com) 2. **Descriptografar tráfego TLS** em tempo real como intermediário 3. **Reinjetar conteúdo modificado** - credenciais capturadas, malware inserido em downloads, redirecionamentos silenciosos 4. **Validar código malicioso assinado** - binários assinados com a CA falsa passam em verificações de assinatura do Windows Authenticode Esta técnica é utilizada por: - **Malware de adware/banking:** instalação silenciosa de CA para interceptar sessões bancárias - **APTs em ataques de supply chain:** CAs pré-instaladas pelo fabricante ou em software comprometido - **Ferramentas de acesso remoto corporativo legítimas** (mal-configuradas ou abusadas): proxies corporativos como Netskope, Zscaler usam CAs internas - atacantes clonam esta ideia para fins maliciosos O malware [[s0281-dok|Dok]] (macOS), o grupo [[g0048-rtm|RTM]] (foco em bancos russos e brasileiros), o [[s0009-hikit|Hikit]] (APT China) e a ferramenta nativa [[s0160-certutil|certutil]] (Windows) são exemplos documentados de uso desta técnica. --- ## Como Funciona ### Instalação no Windows ``` # Via certutil (ferramenta nativa - LOLBIN) certutil -addstore -f "ROOT" malicious-ca.crt # Via PowerShell $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificaté2("malicious-ca.crt") $store = New-Object System.Security.Cryptography.X509Certificates.X509Store("Root","LocalMachine") $store.Open("ReadWrite") $store.Add($cert) $store.Close() # Via Group Policy (se o atacante tem acesso a AD) # Adicionar via GPO Computer Configuration > Windows Settings > Security Settings > Public Key Policies ``` ### Instalação no macOS ```bash # Via security command (requer privilégios root) sudo security add-trusted-cert -d -r trustRoot \ -k /Library/Keychains/System.keychain \ /path/to/malicious-ca.crt ``` *Exatamente como documentado no malware [[dok|Ay MaMi (Dok)] para macOS.* ### Instalação no Linux (Ubuntu/Debian) ```bash # Copiar para diretório de CAs confiáveis sudo cp malicious-ca.crt /usr/local/share/ca-certificates/ sudo updaté-ca-certificates ``` ### Clonagem de Certificados Legítimos Uma variante avançada envolve **clonar** a cadeia de certificados de uma CA legítima conhecida, replicando seus metadados (issuer, subject, validity period), mas com chave privada controlada pelo adversário. Certificados clonados passam em verificações superficiais de ferramentas como Sysinternals que apenas verificam assinatura e não a integridade criptográfica completa. --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial ao Sistema]) --> B{Nível de Privilégio} B -->|Usuário comum| C[Instala no Trust Store do usuário<br/>HKCU\Software\Microsoft\SystemCertificates] B -->|Administrador / Root| D[Instala no Trust Store do sistema<br/>HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT] C --> E[Alcance limitado: apenas sessões do usuário] D --> F[Alcance total: todos os usuários e aplicações] E --> G[CA falsa confiável pelo sistema] F --> G G --> H{Objetivo do adversário} H -->|Interceptação de tráfego| I[Gera certificados falsos para domínios alvo<br/>banco.com.br, vpn.empresa.com, etc.] H -->|Persistência via assinatura| J[Assina malware com CA falsa<br/>Bypass de Authenticode / verificação de assinatura] H -->|Supply chain| K[CA pré-instalada via software comprometido<br/>ou atualização maliciosa] I --> L[Posiciona proxy MITM<br/>intercepta e descriptografa tráfego HTTPS] L --> M[Captura credenciais, tokens, dados sensíveis] M --> N([Exfiltração - dados sem criptografia efetiva]) J --> O([Malware assinado executa sem alertas<br/>de verificação de assinatura]) K --> P([Adware/spyware opera silenciosamente<br/>durante toda a vida útil do dispositivo]) ``` --- ## Exemplos de Uso ### RTM Banking Group - Foco em Brasil e Rússia O grupo [[g0048-rtm|RTM]], ativo desde pelo menos 2015 e com campanhas documentadas contra instituições financeiras brasileiras e russas, utiliza instalação de certificados raiz como parte de seu arsenal de persistência e MITM. O malware RTM instala CAs maliciosas para interceptar tráfego de online banking e capturar credenciais de acesso a sistemas de pagamento. ### Dok / Ay MaMi - macOS Banking Trojan O malware [[s0281-dok|Dok]] (também conhecido como Ay MaMi), descoberto em 2017, foi o primeiro malware macOS a usar instalação de CA raiz como vetor primário de ataque. Distribuído via campanhas de phishing direcionadas a usuários europeus, o Dok instalava uma CA maliciosa no System Keychain e redirecionava todo o tráfego HTTPS através de um proxy Tor, capturando credenciais bancárias completamente transparente para o usuário. ### Hikit - APT Chinês (Axiom / APT17) O rootkit [[s0009-hikit|Hikit]], atribuído ao grupo [[g0025-apt17|APT17 (Axiom)]], utilizava instalação de certificados raiz maliciosos como mecanismo de persistência e para válidar comúnicações C2 autenticadas por certificado - garantindo que apenas o verdadeiro operador pudesse enviar comandos ao implante. ### Superfish / Komodia - Adware de Supply Chain Em 2015, laptops Lenovo vieram de fábrica com o adware **Superfish** pré-instalado, que incluía uma CA raiz com chave privada idêntica em todos os dispositivos. Qualquer adversário com acesso à chave (que foi extraída trivialmente) poderia realizar MITM em qualquer usuário Lenovo - caso clássico de [[t1195-supply-chain-compromise|Supply Chain Compromise]] combinado com Install Root Certificaté. ### certutil como LOLBIN A ferramenta nativa do Windows [[s0160-certutil|certutil]] (`C:\Windows\System32\certutil.exe`) é frequentemente utilizada por adversários como **Living Off the Land Binary (LOLBin)** para instalar certificados maliciosos sem precisar de ferramentas externas - usando apenas o que já está presente no sistema operacional. --- ## Detecção ### Indicadores Comportamentais | Indicador | Relevância | Fonte de Dados | |-----------|-----------|----------------| | Execução de `certutil.exe -addstore ROOT` | Crítica | Sysmon Event ID 1, Windows Security 4688 | | Modificação de `HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\` | Alta | Sysmon Event ID 13 (RegistryValueSet) | | Novo certificado no System Keychain (macOS) | Alta | macOS Unified Log, Endpoint Security Framework | | `updaté-ca-certificates` executado por processo não-root (Linux) | Alta | auditd | | Processo filho de email client / browser instalando certificado | Crítica | EDR process tree | | Certificado com Subject alternativo incomum ou selfSigned em ROOT store | Alta | Certificaté monitoring | ### Regra Sigma ```yaml title: Malicious Root Certificaté Installation via certutil id: 7f3a2b1c-9d4e-5f6a-b1c2-3d4e5f6a7b8c status: stable description: > Detecta instalação de certificados raiz via certutil.exe ou PowerShell, frequentemente usada por malware para habilitar interceptação TLS/MITM ou bypassar verificação de assinatura de código. references: - https://attack.mitre.org/techniques/T1553/004/ - https://lolbas-project.github.io/lolbas/Binaries/Certutil/ author: RunkIntel Detection Engineering daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1553.004 - attack.t1140 logsource: product: windows category: process_creation detection: selection_certutil: Image|endswith: '\certutil.exe' CommandLine|contains|all: - '-addstore' - 'ROOT' selection_powershell: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains|all: - 'X509Store' - 'Root' - 'Add(' selection_reg: EventID: 13 TargetObject|contains: - 'SystemCertificates\ROOT\Certificates' - 'SystemCertificates\AuthRoot\Certificates' condition: selection_certutil or selection_powershell or selection_reg falsepositives: - Instalação de certificados corporativos via GPO (gerar whitelist por hash) - Soluções de proxy corporativo (Zscaler, Netskope) que instalam sua própria CA - Ferramentas de pentest (Burp Suite instala CA para interceptação) level: high fields: - Image - CommandLine - ParentImage - ParentCommandLine - User ``` ### Monitoramento de Certificaté Stores - **Windows:** Monitorar via Sysmon EventID 13 (Registry) a chave `HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\` para novos subkeys - **macOS:** Usar o **Endpoint Security Framework** ou `openssl x509 -in /Library/Keychains/System.keychain` para auditoria periódica - **Linux:** Comparar hash de `/etc/ssl/certs/ca-certificates.crt` com baseline conhecido após cada `updaté-ca-certificates` - **Inventário de CAs:** Ferramentas como **CertWatch** ou scripts de auditoria periódica que exportam o Trust Store e alertam sobre CAs não presentes no baseline corporativo --- ## Mitigação | ID | Mitigação | Implementação Recomendada | |----|-----------|--------------------------| | [[m1054-software-configuration\|M1054]] | Software Configuration | Restringir quais processos podem modificar o Certificaté Store via AppLocker/WDAC. Bloquear execução de `certutil.exe -addstore` por usuários não-administradores. Configurar política de Group Policy para gerenciar CAs aprovadas centralmente. | | [[m1028-operating-system-configuration\|M1028]] | Operating System Configuration | Habilitar **Certificaté Pinning** em aplicações críticas (banking apps, VPN clients). Usar **HTTP Public Key Pinning (HPKP)** ou similar onde aplicável. Em Windows Server, usar ADCS (Active Directory Certificaté Services) para gerenciamento centralizado de PKI corporativa. | | Auditoria de Certificaté Store | Monitoramento Contínuo | Implementar script de auditoria periódica (diária) que compara o Trust Store com um baseline aprovado e alerta sobre qualquer adição não autorizada. Integrar com SIEM para correlação. | | Restricão de LOLBIN | Hardening | Bloquear ou monitorar rigorosamente uso de `certutil.exe` via AppLocker rule. A grande maioria dos usos legítimos de certutil em ambientes corporativos pode ser substituída por comandos PowerShell com auditoria mais granular. | | Supply Chain Verification | Segurança de Cadeia de Suprimento | Verificar certificados pré-instalados em novos dispositivos e softwares corporativos. Remover CAs não reconhecidas. Consultar listas como **Mozilla's CA Certificaté Program** para válidar CAs legítimas. | --- ## Contexto Brasil/LATAM > [!danger] Relevância Crítica para o Setor Financeiro Brasileiro > O Brasil possui um dos ecossistemas bancários online mais desenvolvidos do mundo e é alvo preferêncial de banking trojans. A instalação de CAs maliciosas é uma das técnicas centrais desta categoria de ameaça. ### RTM Group e Setor Financeiro Brasileiro O grupo [[g0048-rtm|RTM]], documentado pela ESET e Kaspersky, manteve campanhas ativas contra empresas brasileiras de contabilidade e finanças corporativas. O grupo usava instalação de certificados raiz como pré-requisito para interceptação de acessos a sistemas de transferência bancária (TED/DOC) e boletos - parte do ecossistema financeiro exclusivamente brasileiro. ### Banking Trojans LATAM e Certificados Famílias como [[s0528-javali|Javali]], [[bizarro|Bizarro]] e [[s0531-grandoreiro|Grandoreiro]] - desenvolvidas no Brasil e distribuídas por toda a América Latina - incluem rotinas de instalação de CA em variantes avançadas para realizar MITM em sessões bancárias sem acionar alertas do browser. ### Certificados em Ataques a Infraestrutura Crítica Em ataques a [[energy|setor de energia]] e [[government|governo]] no Brasil, grupos APT com capacidades avançadas utilizam CAs clonadas para assinar implantes e garantir que comúnicações C2 usem certificados "válidos" - reduzindo chances de detecção por inspeção de tráfego TLS em proxies corporativos. ### PIX e Ameaças a Meios de Pagamento Com a adoção massiva do PIX no Brasil, campanhas de malware que interceptam transações em tempo real via MITM se tornaram mais lucrativas. A instalação de CA raiz maliciosa em dispositivos de usuários de PIX habilita interceptação e modificação de chaves e valores de transação antes da confirmação pelo usuário. ### Recomendações para Defensores no Brasil - Auditar Certificaté Stores regularmente em endpoints corporativos - Incluir detecção de `certutil -addstore` em regras SIEM de alta prioridade - Monitorar chamadas à API `CertOpenStore` / `CertAddCertificateContextToStore` via EDR - Consultar alertas do [[sources|CERT.br]] e [[febraban|FEBRABAN]] sobre campanhas de banking trojans com MITM --- ## Referências - [MITRE ATT&CK - T1553.004](https://attack.mitre.org/techniques/T1553/004/) - [ESET - Dok macOS malware installs rogue CA certificaté](https://www.welivesecurity.com/2017/04/25/osx-dok-malware-intercepts-web-traffic/) - [ESET - RTM: Grupo especializado em fraude financeira](https://www.welivesecurity.com/2017/02/28/rtm-cybercriminal-group-targeting-russian-businesses/) - [Lenovo Superfish - análise técnica (Errata Security)](https://blog.erratasec.com/2015/02/extracting-superfish-certificaté.html) - [LOLBAS - certutil.exe](https://lolbas-project.github.io/lolbas/Binaries/Certutil/) - [[t1553-subvert-trust-controls|T1553 - Subvert Trust Controls]] (técnica pai) - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] (técnica relacionada - objetivo do MITM) - [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]] (vetor de instalação pré-supply chain) - [[m1054-software-configuration|M1054 - Software Configuration]] - [[m1028-operating-system-configuration|M1028 - Operating System Configuration]] - [[s0160-certutil|certutil]] - LOLBIN usado para instalação - [[s0281-dok|Dok]] - malware macOS que usa esta técnica - [[g0048-rtm|RTM]] - grupo com foco em Brasil/LATAM que usa esta técnica - [[s0009-hikit|Hikit]] - APT que usa CA raiz para autenticação de C2 --- *Fonte: [MITRE ATT&CK - T1553.004](https://attack.mitre.org/techniques/T1553/004)*