t1553-subvert-trust-controls

# T1553 - Subvert Trust Controls ## Sub-técnicas - [[t1553-001-gatekeeper-bypass|T1553.001 - Gatekeeper Bypass]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1553-003-sip-and-trust-provider-hijacking|T1553.003 - SIP and Trust Provider Hijacking]] - [[t1553-004-install-root-certificate|T1553.004 - Install Root Certificaté]] - [[t1553-005-mark-of-the-web-bypass|T1553.005 - Mark-of-the-Web Bypass]] - [[t1553-006-code-signing-policy-modification|T1553.006 - Code Signing Policy Modification]] ## Descrição Adversários podem subverter mecanismos de controle de confiança implementados por sistemas operacionais e produtos de segurança para executar código não autorizado sem alertas ou bloqueios. Esses mecanismos de confiança foram projetados para ajudar usuários e sistemas a distinguir software legítimo de malicioso - incluindo válidação de assinaturas digitais, atributos de zona de origem (Mark-of-the-Web), políticas de execução e verificações de integridade do sistema. A subversão desses controles é especialmente crítica porque ataca a camada de confiança fundamental do sistema operacional. Um adversário que consegue contornar esses mecanismos pode executar código malicioso sem nenhum aviso ao usuário, instalar drivers não assinados, realizar ataques man-in-the-middle em tráfego TLS ao instalar certificados raiz fraudulentos, ou persistir em sistemas macOS burlando o Gatekeeper e o SIP (System Integrity Protection). Os métodos variam significativamente por plataforma e sub-técnica. Em Windows, os vetores mais comuns são: roubo ou compra clandestina de certificados de assinatura de código legítimos, modificação direta do registro de confiança do sistema (Certificaté Store), sequestro de SIPs (Subject Interface Packages) para interceptar o fluxo de válidação, e remoção do atributo Mark-of-the-Web que normalmente dispara o SmartScreen. Em macOS, Gatekeeper Bypass e modificação de políticas de notarização são os vetores preferidos por APTs com foco em plataformas Apple. ## Como Funciona **Mecanismos de confiança que adversários visam:** **1. Assinatura de código (Code Signing)** Sistemas operacionais verificam se executáveis e drivers possuem assinaturas digitais de autoridades certificadoras confiáveis. Adversários contornam isso por três vias: (a) roubar certificados de assinatura de empresas legítimas via comprometimento de infraestrutura de CI/CD; (b) comprar certificados em mercados clandestinos de certificados revogados ou fraudados; (c) assinar código com certificados auto-assinados após modificar a política de confiança do sistema. **2. Mark-of-the-Web (MotW)** No Windows, arquivos baixados da internet recebem o atributo NTFS alternativo `Zone.Identifier` (ZoneId=3), que dispara avisos do SmartScreen e do Windows Defender Application Guard. Adversários removem esse atributo via ferramentas, compactação em arquivos ZIP/ISO sem propagação do atributo, ou entrega por canais que não aplicam MotW (ex: compartilhamentos SMB, certos clientes de email). **3. Certificados raiz (Root Certificaté Installation)** Ao instalar um certificado raiz controlado pelo adversário no repositório de confiança do sistema, todo tráfego TLS pode ser interceptado (MITM) e qualquer certificado emitido por essa raiz será considerado legítimo. Isso viabiliza inspeção de tráfego cifrado e distribuição de malware com certificados aparentemente válidos. **4. SIP e Trust Provider Hijacking (Windows)** O Windows usa Subject Interface Packages (SIPs) para delegar a válidação de assinaturas de código a DLLs específicas. Adversários registram SIPs maliciosos ou modificam os existentes para retornar sempre "assinatura válida" independentemente do conteúdo do arquivo. **5. Gatekeeper Bypass (macOS)** O Gatekeeper verifica a notarização de aplicativos baixados da internet no macOS. Adversários contornam essa verificação por técnicas como: uso de pacotes .dmg com estrutura que não aciona a verificação, exploração de bugs no Gatekeeper, ou execução de binários via scripts que não herdam o MotW macOS equivalente. ## Attack Flow ```mermaid graph TB A[Adversário adquire capacidade de subversão] --> B{Vetor de ataque selecionado} B --> B1[Roubo de certificado de assinatura] B --> B2[Instalação de certificado raiz] B --> B3[Remoção de Mark-of-the-Web] B --> B4[SIP/Trust Provider Hijacking] B --> B5[Bypass do Gatekeeper macOS] B1 --> C1[Código malicioso assinado como legítimo] B2 --> C2[MITM em tráfego TLS do alvo] B3 --> C3[Execução sem aviso do SmartScreen] B4 --> C4[Bypass de válidação de assinatura Windows] B5 --> C5[Execução de app não notarizado no macOS] C1 --> D[Execução de malware sem alertas de segurança] C2 --> D C3 --> D C4 --> D C5 --> D D --> E[Persistência, movimentação lateral ou exfiltração] ``` ## Exemplos de Uso **Axiom** - grupo de ameaça patrocinado por estado chinês - utiliza subversão de controles de confiança como componente central de operações de espionagem de longo prazo, especialmente instalação de certificados raiz para monitoramento de tráfego cifrado em redes-alvo. **Ataques à cadeia de suprimentos de certificados:** A campanha de comprometimento da SolarWinds (APT29) incluiu o uso de certificados de assinatura de código roubados da Orion para assinar o malware [[s0559-sunburst|SUNBURST]], fazendo-o passar por atualização legítima. Esse é um dos exemplos mais impactantes de T1553.002 em escala industrial. **Mark-of-the-Web Bypass - uso massivo em 2022-2024:** A proliferação de malware distribuído via arquivos ISO e VHD (Virtual Hard Disk) - incluindo variantes do [[s0650-qakbot|QakBot]], [[s0367-emotet|Emotet]] e [[s0483-icedid|IcedID]] - explorou o fato de que o Windows não propagava o atributo MotW para arquivos extraídos de contêineres ISO/VHD, eliminando efetivamente o bloqueio do SmartScreen. A Microsoft corrigiu parte dessa lacuna com patches de 2022-2023, mas variantes continuam sendo descobertas. **Grupos com uso documentado:** - [[g0032-lazarus-group|Lazarus Group]]: T1553.002 em campanhas de supply chain contra exchange de criptomoedas - [[g0096-apt41|APT41]]: instalação de certificados raiz em redes corporativas comprometidas para MITM persistente - [[g0046-fin7|FIN7]]: MotW bypass via arquivos ISO para distribuição de [[g0008-carbanak|Carbanak]] e payloads similares ## Detecção ```yaml title: Detecção de Instalação de Certificado Raiz Não Autorizado status: experimental logsource: category: registry_event product: windows detection: selection: TargetObject|startswith: - 'HKLM\SOFTWARE\Microsoft\SystemCertificates\Root\Certificates\' - 'HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\' - 'HKCU\SOFTWARE\Microsoft\SystemCertificates\Root\Certificates\' filter_legitimate: Image|contains: - 'certutil.exe' - 'certmgr.exe' - 'CertEnroll' condition: selection and not filter_legitimate level: high tags: - attack.defense_evasion - attack.t1553.004 falsepositives: - Implantação legítima de certificados corporativos via GPO - Ferramentas de MDM instalando perfis de configuração ``` ```yaml title: Detecção de Remoção de Mark-of-the-Web status: experimental logsource: category: file_event product: windows detection: selection_delete_stream: TargetFilename|contains: ':Zone.Identifier' EventType: 'DeleteStream' selection_suspicious_parent: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' condition: selection_delete_stream and selection_suspicious_parent level: medium tags: - attack.defense_evasion - attack.t1553.005 ``` ```yaml title: Detecção de SIP Registration Suspeito status: experimental logsource: category: registry_event product: windows detection: selection: TargetObject|startswith: 'HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType' TargetObject|contains: 'CryptSIPDll' filter_known_good: Details|contains: - 'wintrust.dll' - 'mssip32.dll' condition: selection and not filter_known_good level: high tags: - attack.defense_evasion - attack.t1553.003 ``` **Fontes de dados relevantes:** - Logs de modificação do repositório de certificados (Event ID 4886, 4887) - Sysmon Event ID 12/13/14 para alterações no registro relacionadas a SIPs e certificados - Windows Defender Antivirus logs para detecção de MotW bypass - Logs de auditoria do Gatekeeper no macOS (Console.app, `com.apple.security.assessment`) ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1038 | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Políticas de controle de aplicações (AppLocker, WDAC) que verificam assinaturas digitais e bloqueiam executáveis não assinados ou com certificados não confiáveis pela organização | | M1028 | [[m1028-operating-system-configuration\|M1028 - Operating System Configuration]] | Configurar Windows Defender SmartScreen, manter Gatekeeper ativo no macOS, habilitar UEFI Secure Boot - todos dependem da integridade dos controles de confiança | | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Instalação de certificados raiz e modificação de SIPs requerem privilégios administrativos - restringir e auditar contas com esse nível de acesso | | M1024 | [[m1024-restrict-registry-permissions\|M1024 - Restrict Registry Permissions]] | Restringir permissões de escrita nas chaves de registro relacionadas a certificados e SIPs, limitando quais processos e usuários podem modificá-las | | M1054 | [[m1054-software-configuration\|M1054 - Software Configuration]] | Configurar Certificaté Pinning em aplicações críticas, implementar CT (Certificaté Transparency) logging, e usar HSTS para dificultar MITM via certificados raiz maliciosos | **Controles adicionais recomendados:** - Implementar **Microsoft Vulnerable Driver Blocklist** e **HVCI** (Hypervisor-Protected Code Integrity) para impedir carregamento de drivers não assinados - Habilitar **Windows Defender Credential Guard** - que inclui proteção da cadeia de certificados - Monitorar o **Certificaté Transparency Log** para detectar certificados emitidos fraudulentamente para domínios da organização - No macOS: habilitar **System Integrity Protection (SIP)** e **Apple Silicon Secure Boot** - dificultam bypass do Gatekeeper - Auditar regularmente o repositório de certificados raiz nos endpoints para detectar adições não autorizadas ## Contexto Brasil/LATAM No Brasil, a subversão de controles de confiança é predominantemente observada em duas modalidades: **instalação de certificados raiz por trojans bancários** e **bypass de SmartScreen via MotW** em campanhas de phishing massivo. Trojans bancários brasileiros - como [[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]] e [[guildma|Guildma]] (parte da família Tetrade) - frequentemente instalam certificados raiz no Windows para realizar MITM em sessões de internet banking, interceptando tráfego TLS entre o navegador da vítima e os servidores do banco. O [[sources|CERT.br]] identificou essa técnica como componente padrão da maioria das famílias de malware bancário brasileiro desde 2019. O bypass de Mark-of-the-Web via arquivos ISO e ZIP é amplamente usado em campanhas de phishing direcionadas a empresas brasileiras de médio porte, especialmente no setor de serviços e manufatura. Emails simulando notas fiscais eletrônicas, boletos ou comúnicados da Receita Federal entregam arquivos ISO que, quando montados, instalam RATs sem disparar o SmartScreen. Em operações de espionagem corporativa na América Latina - especialmente em setores de energia, telecomúnicações e governo - grupos como [[g0096-apt41|APT41]] documentadamente instalam certificados raiz em redes comprometidas para monitoramento persistente de comúnicações internas, uma variante de T1553.004 de alto impacto operacional que pode persistir por meses sem detecção. ## Referências - [[t1553-001-gatekeeper-bypass|T1553.001 - Gatekeeper Bypass]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1553-003-sip-and-trust-provider-hijacking|T1553.003 - SIP and Trust Provider Hijacking]] - [[t1553-004-install-root-certificate|T1553.004 - Install Root Certificaté]] - [[t1553-005-mark-of-the-web-bypass|T1553.005 - Mark-of-the-Web Bypass]] - [[t1553-006-code-signing-policy-modification|T1553.006 - Code Signing Policy Modification]] - [[t1222-file-and-directory-permissions-modification|T1222 - File and Directory Permissions Modification]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[g0001-axiom|Axiom]] - [[g0096-apt41|APT41]] - [[m1038-execution-prevention|M1038 - Execution Prevention]] - [[m1024-restrict-registry-permissions|M1024 - Restrict Registry Permissions]] *Fonte: MITRE ATT&CK - T1553*