# T1588.004 - Digital Certificates ## Descrição Certificados digitais SSL/TLS são a pedra angular da confiança na internet - o cadeado verde que garante ao usuário que está se comúnicando com quem pensa estar. Adversários sofisticados exploram exatamente essa confiança: adquirindo, roubando ou fraudando certificados legítimos para conferir aparência de legitimidade à sua infraestrutura de ataque. A obtenção de um certificado pode ocorrer de múltiplas formas: compra direta por meio de uma empresa de fachada usando identidade roubada; extração de certificados e chaves privadas de organizações previamente comprometidas; registro de domínios lookalike seguido da emissão de certificados de válidação de domínio (DV) gratuitos via autoridades como Let's Encrypt; ou, em casos mais sofisticados, o comprometimento direto de uma autoridade certificadora (CA) - vetor que confere ao atacante capacidade de assinar qualquer domínio. Com o certificado em mãos, o adversário pode cifrar o tráfego de comando e controle ([[t1573-002-asymmetric-cryptography|Asymmetric Cryptography]]) tornando a inspeção de tráfego muito mais difícil, montar ataques [[t1557-adversary-in-the-middle|Adversary-in-the-Middle]] confiáveis, ou criar páginas de phishing com HTTPS legítimo que enganam até usuários experientes. **No Brasil e LATAM**, a técnica tem impacto direto em dois cenários recorrentes: campanhas de phishing dirigidas ao setor financeiro, onde portais bancários falsos com HTTPS são usados para capturar credenciais de internet banking; e operações de espionagem contra universidades, governo e setor de energia, onde grupos como [[g0122-silent-librarian|Silent Librarian]] e [[g1041-sea-turtle|Sea Turtle]] utilizam certificados fraudulentos para imitar infraestrutura legítima de entidades-alvo. O Brasil, como maior economia da região e alvo histórico de espionagem industrial, é frequentemente visado nesse segundo cenário. > **Técnica pai:** [[t1588-obtain-capabilities|T1588 - Obtain Capabilities]] --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Registra domínio<br/>lookalike / compromete<br/>terceiro com cert] B --> C[Obtém certificado<br/>SSL/TLS válido] C:::poison --> D[Instala cert na<br/>infraestrutura C2<br/>ou phishing] D --> E{Uso operacional} E --> F[C2 cifrado<br/>HTTPS legítimo] E --> G[Página phishing<br/>com cadeado verde] E --> H[Ataque AitM<br/>confiável] F --> I([Operação<br/>indetectável]) G --> I H --> I classDef poison fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Aquisição do certificado** O adversário escolhe o método de obtenção conforme o perfil da operação. Para campanhas oportunistas de phishing em massa, o caminho mais simples é registrar um domínio typosquatting (ex: `banco-bradesc0.com`) e emitir um certificado DV gratuito - processo que leva menos de 10 minutos e não requer qualquer verificação de identidade real. Para operações de espionagem direcionada, a abordagem é mais sofisticada: comprometer uma organização parceira ou fornecedor que possua certificados válidos assinados por CAs reconhecidas, extraindo a chave privada via acesso ao servidor web comprometido ou ao armazenamento de certificados do sistema operacional. **Passo 2 - Instalação e configuração da infraestrutura** Com o certificado obtido, o adversário configura sua infraestrutura de ataque conforme descrito em [[t1608-003-install-digital-certificate|T1608.003 - Install Digital Certificaté]]. Servidores C2 são configurados com HTTPS; páginas de phishing recebem o certificado para exibir o ícone de cadeado; em ataques AitM, o certificado é instalado em proxies de interceptação. Grupos avançados como [[g0032-lazarus-group|Lazarus Group]] frequentemente rotacionam certificados a cada operação para evitar correlação por fingerprint de TLS. **Passo 3 - Operação encoberta por HTTPS legítimo** Durante a fase de execução, o certificado válido serve como camada de ofuscação eficaz. Ferramentas de inspeção de tráfego que não realizam TLS inspection deixam o tráfego C2 passar sem análise. Usuários que verificam o cadeado do navegador ao acessar a página de phishing têm falsa sensação de segurança. Em ataques [[t1557-adversary-in-the-middle|AitM]] com certificado confiável, credenciais são capturadas de forma completamente transparente para a vítima. --- ## Detecção ### Event IDs relevantes | Fonte | Event ID | Descrição | |-------|----------|-----------| | Windows Security | 4985 / 5035 | Operações com certificados no Windows Certificaté Store | | Sysmon | 12 / 13 | RegistryEvent - instalação de certificados no registry (HKLM\SOFTWARE\Microsoft\SystemCertificates) | | Sysmon | 22 | DNSEvent - consultas a domínios com certificados recém-emitidos (< 30 dias) | | Windows Security | 4697 | Instalação de serviço - frequente quando cert é instalado junto com proxy | | Network/Proxy | - | Logs TLS: monitorar Subject Alternative Names (SANs) anômalos, self-signed certs em destinos corporativos | | Certificaté Transparency | - | Monitorar CT logs para emissão de certificados em domínios lookalike da organização | ### Sigma Rule ```yaml title: Suspicious Certificaté Installation in Windows Certificaté Store id: a1b2c3d4-e5f6-7890-abcd-ef1234567890 status: experimental description: Detecta instalação suspeita de certificados no store do Windows, potencialmente indicando preparação de infraestrutura AitM ou persistência de CA maliciosa references: - https://attack.mitre.org/techniques/T1588/004 author: RunkIntel daté: 2026-03-24 tags: - attack.resource-development - attack.t1588.004 - attack.defense-evasion - attack.t1553.004 logsource: product: windows category: registry_set detection: selection: TargetObject|contains: - '\SOFTWARE\Microsoft\SystemCertificates\Root\Certificates\' - '\SOFTWARE\Microsoft\SystemCertificates\CA\Certificates\' - '\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates\' filter_legitimate: Image|endswith: - '\certutil.exe' - '\mmc.exe' filter_system: User|contains: - 'SYSTEM' - 'LOCAL SERVICE' condition: selection and not filter_legitimate and not filter_system falsepositives: - Instalação de certificados corporativos por GPO - Softwares de gestão como Intune ou SCCM level: high ``` --- ## Mitigação | Controle | Descrição | Relevância para Organizações Brasileiras | |----------|-----------|------------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Monitorar Certificaté Transparency logs para detectar emissão não autorizada de certificados em domínios da organização | Fundamental para bancos e empresas de infraestrutura crítica - prática recomendada pelo BACEN e ANPD | | Monitoramento de CT Logs | Usar ferramentas como crt.sh, Cert Spotter ou Facebook CT Monitor para alertas de novos certificados nos domínios corporativos | Alta relevância - ataque [[g1041-sea-turtle\|Sea Turtle]] usou certs fraudulentos contra entidades no Brasil | | TLS Inspection | Implementar inspeção SSL/TLS no perímetro para detectar C2 cifrado e exfiltração | Adotar com cuidado em setores regulados (LGPD) - necessita política de privacidade clara | | Certificaté Pinning | Para aplicações críticas (internet banking, portais corporativos), implementar pinning do certificado | Alta aplicabilidade para fintechs e bancos brasileiros | | Alertas de domínios lookalike | Monitorar registros de domínios semelhantes aos da organização + emissão de certs DV para esses domínios | Serviço disponível via MarkMonitor, Namecheap Brand Protection, ou soluções nacionais como Registro.br | | Hardening do cert store | Restringir via GPO quais processos podem instalar certificados de raiz - bloquear certutil para usuários não-admins | Endereça [[t1553-004-install-root-certificate\|T1553.004]] - extremamente relevante para ambientes Windows corporativos brasileiros | --- ## Threat Actors e Software Associados ### Grupos que utilizam esta técnica - **[[g0122-silent-librarian|Silent Librarian]]** (TA407/Cobalt Dickens) - grupo iraniano especializado em espionagem acadêmica; cria páginas de phishing HTTPS convincentes mirando universidades brasileiras e latino-americanas para roubo de credenciais e propriedade intelectual. - **[[g0032-lazarus-group|Lazarus Group]]** - APT norte-coreano com histórico extenso de uso de certificados legítimos em operações de espionagem e roubo financeiro; alvos incluem o setor financeiro brasileiro. Usa certs DV rotativos para infraestrutura C2. - **[[g1041-sea-turtle|Sea Turtle]]** (Teal Kurma) - grupo de espionagem com foco em DNS hijacking; comprometeu CAs e registradores DNS para emitir certificados fraudulentos mirando entidades governamentais e telecom no Oriente Médio e América Latina. - **[[g0129-mustang-panda|Mustang Panda]]** - APT chinês que usa certificados de code signing roubados para assinar payloads maliciosos, driblando detecções baseadas em reputação de assinatura digital. - **[[g1048-unc3886|UNC3886]]** - grupo de espionagem associado à China; compromete appliances de rede e usa certs para cifrar comúnicações em operações de longa duração contra infraestrutura crítica. - **[[g1014-luminousmoth|LuminousMoth]]** - APT com foco na Ásia; usa certificados legítimos para assinar malware e reduzir detecção por soluções de endpoint. - **[[g0098-blacktech|BlackTech]]** - grupo de espionagem com foco na Ásia-Pacífico; usa certificados de code signing roubados de empresas de Taiwan para assinar backdoors. ### Técnicas relacionadas - [[t1608-003-install-digital-certificate|T1608.003 - Install Digital Certificaté]] - instalação dos certificados obtidos na infraestrutura atacante - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - uso do certificado para cifrar C2 - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] - ataque possibilitado por certificados confiáveis - [[t1553-004-install-root-certificate|T1553.004 - Install Root Certificaté]] - instalação de CA maliciosa na vítima para válidar qualquer cert adversário - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - C2 via HTTPS usando o certificado obtido --- *Fonte: [MITRE ATT&CK - T1588.004](https://attack.mitre.org/techniques/T1588/004)*