# T1608.003 - Install Digital Certificaté
## Descrição
Adversários instalam certificados SSL/TLS em infraestrutura controlada para legitimar operações maliciosas. Um certificado digital é um arquivo criptográfico que associa uma chave pública a uma identidade verificada por uma Autoridade Certificadora (CA), permitindo comunicação HTTPS criptografada e - crucialmente - transmitindo **aparência de legitimidade** para vítimas e sistemas de segurança.
Ao instalar certificados válidos em servidores maliciosos, adversários conseguem: (1) criptografar o tráfego C2 de forma que sistemas de inspeção SSL não consigam inspecionar o conteúdo sem quebra de TLS; (2) tornar páginas de phishing e coleta de credenciais visualmente idênticas a sites legítimos - inclusive exibindo o cadeado verde no navegador; (3) contornar filtros de reputação baseados em HTTPS simples versus HTTP.
Os certificados podem ser adquiridos de CAs públicas gratuitas como Let's Encrypt (ver [[t1588-004-digital-certificates|T1588.004]]), comprados de provedores comerciais, ou gerados como autoassinados (ver [[t1587-003-digital-certificates|T1587.003]]). Após obtenção, são instalados em infraestrutura adquirida ([[t1583-acquire-infrastructure|T1583]]) ou comprometida ([[t1584-compromise-infrastructure|T1584]]).
**Contexto Brasil/LATAM:** O grupo [[g1041-sea-turtle|Sea Turtle]], responsável por campanhas extensas de sequestro de DNS contra governos e telecomúnicações no Oriente Médio e América Latina, utiliza esta técnica como etapa fundamental: após redirecionar o DNS de um domínio legítimo para infraestrutura própria, instala certificados válidos para que a página falsa não acione alertas de segurança no navegador das vítimas. No contexto brasileiro, campanhas de phishing contra clientes de grandes bancos (Itaú, Bradesco, Caixa Econômica Federal) frequentemente usam domínios com certificados Let's Encrypt válidos para simular os portais originais - tornando a detecção visual práticamente impossível para usuários não treinados.
> **Técnica pai:** [[t1608-stage-capabilities|T1608 - Stage Capabilities]]
---
## Attack Flow
```mermaid
graph TB
A([Aquisição de Infraestrutura<br/>T1583]) --> B([Obtenção de Certificado<br/>T1588.004 / T1587.003])
B --> C{{"T1608.003<br/>Install Digital Certificaté"}}
style C fill:#e74c3c,color:#fff
C --> D([C2 Criptografado<br/>T1573.002])
C --> E([Phishing com HTTPS<br/>T1566.002])
C --> F([Coleta de Credenciais<br/>T1056])
C --> G([Bypass de Inspeção SSL])
```
---
## Como Funciona
**1. Preparação da Infraestrutura e Obtenção do Certificado**
O adversário provisiona um servidor (VPS, instância cloud ou servidor comprometido via [[t1584-compromise-infrastructure|T1584]]) com um hostname que imita o alvo - por exemplo, `itau-segurança[.]com` ou `bradesco-conta-digital[.]net`. Solicita então um certificado à Let's Encrypt ou outra CA pública, completando o desafio de válidação de domínio (DV). Como a válidação DV verifica apenas controle do domínio - e não a identidade da organização - qualquer pessoa que controle o DNS do domínio pode obter um certificado válido em minutos.
**2. Instalação e Configuração do Servidor**
O certificado (par de chave pública/privada + cadeia de CAs) é instalado no servidor web malicioso via configuração NGINX/Apache/Caddy. O servidor é configurado para forçar HTTPS, garantindo que o navegador da vítima exiba o cadeado. Em operações mais sofisticadas como as do [[g1041-sea-turtle|Sea Turtle]], o certificado é instalado em um proxy transparente que intercepta todo o tráfego legítimo após sequestro de DNS - permitindo captura de credenciais em tempo real sem que a vítima perceba anomalia.
**3. Operação com Cobertura Criptográfica**
Com o certificado instalado, o canal C2 ([[t1071-001-web-protocols|T1071.001 - Web Protocols]] + [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]]) fica protegido por TLS legítimo. Ferramentas de segurança que dependem de inspeção de tráfego em texto claro perdem visibilidade. Páginas de phishing passam por verificações automáticas de segurança de navegadores. A identidade do servidor malicioso é válidada por uma CA confiável globalmente.
---
## Detecção
> **Nota:** T1608.003 é pré-comprometimento - o adversário instala o certificado **antes** de atacar. A detecção foca em monitoramento de Certificaté Transparency Logs e análise de certificados em tráfego de rede.
### Event IDs Relevantes
| Event ID | Log | Indicador |
|----------|-----|-----------|
| 5061 | Security | Operação de chave criptográfica (criação/uso anômalo de certificados) |
| 4656 | Security | Acesso a objeto de certificado no repositório local |
| Sysmon 22 | Microsoft-Windows-Sysmon | DNS query para domínio recentemente registrado com certificado válido |
| Sysmon 3 | Microsoft-Windows-Sysmon | Conexão TLS para domínio com cert. emitido há menos de 7 dias |
### Regra Sigma - Certificado Suspeito em Tráfego de Rede
```yaml
title: TLS Connection to Recently Issued Certificaté Domain
id: a7c4d2e9-1b56-4f83-aa01-8e3b5c7d2f19
status: experimental
description: >
Detecta conexões TLS de saída para domínios cujo certificado SSL
foi emitido há menos de 7 dias, indicador de infraestrutura de
phishing ou C2 recém-configurada. Especialmente relevante para
domínios imitando bancos e entidades governamentais brasileiras.
logsource:
product: zeek
service: ssl
detection:
selection:
resp_cert_chain_fuids|contains: '*'
filter_age:
# Cert válido há menos de 7 dias (detecção via enriquecimento)
cert_not_valid_before|gte: '-7d'
keywords:
server_name|contains:
- 'itau'
- 'bradesco'
- 'caixa'
- 'bb.com'
- 'receita'
- 'gov.br'
- 'serpro'
condition: selection and filter_age and keywords
falsepositives:
- Renovação legítima de certificados corporativos
- Ambientes de desenvolvimento com domínios de teste
level: high
tags:
- attack.resource_development
- attack.t1608.003
```
---
## Mitigação
| Controle | Ação Recomendada | Relevância para Organizações Brasileiras |
|----------|-----------------|------------------------------------------|
| [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Monitorar Certificaté Transparency Logs (crt.sh) para domínios que imitam a organização | Crítico - bancos e órgãos gov.br devem monitorar variações typosquatting continuamente |
| Inspeção TLS/SSL | Implementar SSL inspection no proxy corporativo para inspecionar conteúdo de tráfego HTTPS | Alta - sem inspeção TLS, C2 criptografado é invisível para SIEM e EDR |
| Certificaté Pinning | Para apps mobile e sistemas críticos, implementar certificaté pinning ou HPKP | Alta para bancos com apps mobile (alto volume no Brasil) |
| Indicadores de Phishing | Integrar feeds de domínios de phishing (PhishTank, OpenPhish, CERT.br) em DNS/proxy | Alta - CERT.br mantém lista atualizada de domínios de phishing contra alvos brasileiros |
| Validação de Identidade | Preferir certificados OV (Organization Validation) ou EV (Extended Validation) para sistemas críticos; educar usuários a verificar além do cadeado | Média - usuários brasileiros frequentemente creem que cadeado = site legítimo |
| Monitoramento de DNS | Alertar sobre mudanças súbitas em registros DNS de domínios corporativos | Crítico para prevenir sequestro de DNS como práticado pelo [[g1041-sea-turtle\|Sea Turtle]] |
---
## Threat Actors + Software
### Grupos que Utilizam Esta Técnica
| Ator | Tipo | Contexto de Uso | Relevância LATAM |
|------|------|-----------------|------------------|
| [[g1041-sea-turtle\|Sea Turtle]] | APT (Turquia/Middle East nexus) | Sequestro de DNS + instalação de certificados válidos em servidores de interceptação; utilizado contra governos e telecomúnicações no Oriente Médio e América Latina | Alta - registros de atividade documentados em países da região; modelo replicável contra alvos brasileiros |
### Técnicas Relacionadas
Esta técnica é frequentemente usada em conjunto com:
- [[t1588-004-digital-certificates|T1588.004 - Digital Certificates]] - aquisição do certificado antes da instalação
- [[t1587-003-digital-certificates|T1587.003 - Digital Certificates (autoassinado)]] - alternativa sem CA pública
- [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] - infraestrutura onde o cert. é instalado
- [[t1584-compromise-infrastructure|T1584 - Compromise Infrastructure]] - infraestrutura comprometida como hospedeiro
- [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - uso do certificado para criptografar C2
- [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - tráfego C2 HTTPS com certificado válido
- [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - links HTTPS para páginas de phishing com certificado
---
*Fonte: [MITRE ATT&CK - T1608.003](https://attack.mitre.org/techniques/T1608/003)*