Техника на mitre.org

T1553.004: Установка корневого сертификата

Злоумышленники могут установить корневой сертификат на скомпрометированную систему, чтобы избежать оповещений о подключении к подконтрольным им веб-серверам. Корневые сертификаты используются в шифровании с открытым ключом для идентификации корневого центра сертификации (CA). Когда корневой сертификат установлен, система или приложение будет доверять всем сертификатам в цепочке корневого сертификата. Сертификаты обычно используются для установления защищенных TLS/SSL-соединений в браузере. Если пользователь попытается открыть сайт с недоверенным сертификатом, появится сообщение об ошибке, предупреждающее пользователя об угрозе безопасности. В зависимости от настроек безопасности, браузер может запрещать соединения с такими сайтами.

Установка корневого сертификата в скомпрометированной системе позволяет злоумышленнику снизить уровень ее безопасности. Злоумышленники использовали эту технику, чтобы избежать появления предупреждений системы безопасности о подключении к подконтрольным им веб-серверам, замаскированным под легитимные сайты, по протоколу HTTPS и украсть учетные данные пользователя.

Известны случаи, когда посторонние корневые сертификаты устанавливались на устройство производителем или через цепочку поставок ПО и использовались наряду с вредоносным и рекламным ПО для обеспечения возможности атаки "Злоумышленник посередине" в целях перехвата информации, передаваемой через защищенные TLS/SSL-подключения.

Злоумышленники могут клонировать и переустанавливать корневые сертификаты и их цепочки. Цепочки клонированных сертификатов содержат многие метаданные исходных сертификатов и могут использоваться для подписывания вредоносного кода с целью обхода средств проверки подписи (например, Sysinternals или антивируса), используемых для блокирования и (или) обнаружения артефактов, указывающих на закрепление злоумышленников в системе.

Вредоносное ПО Ay MaMi для macOS использует команду /usr/bin/security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain /path/to/malicious/cert для установки вредоносного сертификата в качестве доверенного корневого сертификата в системную связку ключей.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Windows: — Мониторинг событий запуска процессов certutil.exe (с ключом addstore) и certmgr.exe (с ключом -add). — Мониторинг событий запуска командлета PowerShell Import-Certificate. — Мониторинг событий создания или изменения ключей реестра в следующих расположениях: HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates, [HKLM or HKCU]\Software[\Policies]\Microsoft\SystemCertificates\Root\Certificates.

CentOS/RHEL: — Мониторинг событий создания файлов .crt в директории /etc/pki/ca-trust/source/anchors/. После таких событий ожидается выполнение команды «update-ca-trust».

Linux: — Мониторинг событий создания файлов .crt в директории /usr/local/share/ca-certificates. После этого события ожидается выполнение команды «update-ca-certificates»

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте команды, такие как `security add-trusted-cert` (macOS) или `certutil -addstore` (Windows), которые могут использоваться для установки корневых сертификатов. Потребность в переустановке корневых сертификатов системы возникает нечасто. Отслеживайте установку новых, потенциально вредоносных сертификатов . Проверяйте предустановленные сертификаты на новых системах на предмет ненужных или подозрительных. Microsoft предоставляет список доверенных корневых сертификатов на своем сайте и в файле `authroot.stl` . Утилита Sysinternals Sigcheck (`sigcheck[64].exe -tuv`) может использоваться для получения дампа содержимого хранилища сертификатов и списка действительных сертификатов, не указанных в Списке доверия сертификатов Microsoft .

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте изменения в реестре Windows, которые могут свидетельствовать об установке вредоносных корневых сертификатов. Установленные корневые сертификаты хранятся в реестре, в `HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates</code> и` [HKLM или HKCU]\Software[\Policies]\Microsoft\SystemCertificates\Root\Certificates</code>. В разных версиях Windows присутствует одинаковая подгруппа корневых сертификатов, которые можно использовать для сравнения: 18F7C1FCC3090203FD5BAA2F861A754976C8DD25 245C97DF7514E7CF2DF8BE72AE957B9E04741E85 3B1EFD3A66EA28B16697394703A72CA340A05BD5 7F88CD7223F3C813818C994614A89C99FA3B5247 8F43288AD272F3103B6FB1428485EA3014C0BCFE A43489159A520F0D93D032CCAF37E7FE20A8B419 BE36A4562FB2EE05DBB3D32323ADF445084ED656 CDD4EEAE6000AC7F40C3802C171E30148030C072

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы, такие как `certmgr.exe` (macOS) или `certutil.exe` (Windows), которые могут устанавливать корневые сертификаты. Потребность в переустановке корневых сертификатов системы возникает нечасто. Отслеживайте установку новых, потенциально вредоносных сертификатов . Проверяйте предустановленные сертификаты на новых системах на предмет ненужных или подозрительных. Microsoft предоставляет список доверенных корневых сертификатов на своем сайте и в файле `authroot.stl` . Утилита Sysinternals Sigcheck (`sigcheck[64].exe -tuv`) может использоваться для получения дампа содержимого хранилища сертификатов и списка действительных сертификатов, не указанных в Списке доверия сертификатов Microsoft . Аналитика 1. Попытка добавить сертификат в недоверенное хранилище `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND Image="C:\Windows\System32\certutil.exe" CommandLine="-addstore"`

ID	DS0024	Источник и компонент данных	Реестр Windows: Создание ключа реестра Windows	Описание	Отслеживайте создание ключей и подключей в реестре Windows, которые могут свидетельствовать об установке вредоносных корневых сертификатов. Установленные корневые сертификаты хранятся в реестре, в `HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates</code> и` [HKLM или HKCU]\Software[\Policies]\Microsoft\SystemCertificates\Root\Certificates</code>. В разных версиях Windows присутствует одинаковая подгруппа корневых сертификатов, которые можно использовать для сравнения: 18F7C1FCC3090203FD5BAA2F861A754976C8DD25 245C97DF7514E7CF2DF8BE72AE957B9E04741E85 3B1EFD3A66EA28B16697394703A72CA340A05BD5 7F88CD7223F3C813818C994614A89C99FA3B5247 8F43288AD272F3103B6FB1428485EA3014C0BCFE A43489159A520F0D93D032CCAF37E7FE20A8B419 BE36A4562FB2EE05DBB3D32323ADF445084ED656 CDD4EEAE6000AC7F40C3802C171E30148030C072

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте команды, такие как `security add-trusted-cert` (macOS) или `certutil -addstore` (Windows), которые могут использоваться для установки корневых сертификатов. Потребность в переустановке корневых сертификатов системы возникает нечасто. Отслеживайте установку новых, потенциально вредоносных сертификатов . Проверяйте предустановленные сертификаты на новых системах на предмет ненужных или подозрительных. Microsoft предоставляет список доверенных корневых сертификатов на своем сайте и в файле `authroot.stl` . Утилита Sysinternals Sigcheck (`sigcheck[64].exe -tuv`) может использоваться для получения дампа содержимого хранилища сертификатов и списка действительных сертификатов, не указанных в Списке доверия сертификатов Microsoft .
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте изменения в реестре Windows, которые могут свидетельствовать об установке вредоносных корневых сертификатов. Установленные корневые сертификаты хранятся в реестре, в `HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates</code> и` [HKLM или HKCU]\Software[\Policies]\Microsoft\SystemCertificates\Root\Certificates</code>. В разных версиях Windows присутствует одинаковая подгруппа корневых сертификатов, которые можно использовать для сравнения: 18F7C1FCC3090203FD5BAA2F861A754976C8DD25 245C97DF7514E7CF2DF8BE72AE957B9E04741E85 3B1EFD3A66EA28B16697394703A72CA340A05BD5 7F88CD7223F3C813818C994614A89C99FA3B5247 8F43288AD272F3103B6FB1428485EA3014C0BCFE A43489159A520F0D93D032CCAF37E7FE20A8B419 BE36A4562FB2EE05DBB3D32323ADF445084ED656 CDD4EEAE6000AC7F40C3802C171E30148030C072
DS0009	Процесс: Создание процесса	Отслеживайте процессы, такие как `certmgr.exe` (macOS) или `certutil.exe` (Windows), которые могут устанавливать корневые сертификаты. Потребность в переустановке корневых сертификатов системы возникает нечасто. Отслеживайте установку новых, потенциально вредоносных сертификатов . Проверяйте предустановленные сертификаты на новых системах на предмет ненужных или подозрительных. Microsoft предоставляет список доверенных корневых сертификатов на своем сайте и в файле `authroot.stl` . Утилита Sysinternals Sigcheck (`sigcheck[64].exe -tuv`) может использоваться для получения дампа содержимого хранилища сертификатов и списка действительных сертификатов, не указанных в Списке доверия сертификатов Microsoft . Аналитика 1. Попытка добавить сертификат в недоверенное хранилище `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND Image="C:\Windows\System32\certutil.exe" CommandLine="-addstore"`
DS0024	Реестр Windows: Создание ключа реестра Windows	Отслеживайте создание ключей и подключей в реестре Windows, которые могут свидетельствовать об установке вредоносных корневых сертификатов. Установленные корневые сертификаты хранятся в реестре, в `HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates</code> и` [HKLM или HKCU]\Software[\Policies]\Microsoft\SystemCertificates\Root\Certificates</code>. В разных версиях Windows присутствует одинаковая подгруппа корневых сертификатов, которые можно использовать для сравнения: 18F7C1FCC3090203FD5BAA2F861A754976C8DD25 245C97DF7514E7CF2DF8BE72AE957B9E04741E85 3B1EFD3A66EA28B16697394703A72CA340A05BD5 7F88CD7223F3C813818C994614A89C99FA3B5247 8F43288AD272F3103B6FB1428485EA3014C0BCFE A43489159A520F0D93D032CCAF37E7FE20A8B419 BE36A4562FB2EE05DBB3D32323ADF445084ED656 CDD4EEAE6000AC7F40C3802C171E30148030C072

Меры противодействия

ID	M1054	Название	Изменение конфигурации ПО	Описание	HTTP Public Key Pinning (HPKP) — это один из методов защиты от атак типа "злоумышленник посередине", в которых злоумышленник использует неправильно выданный или поддельный сертификат для перехвата зашифрованных сообщений, обеспечивая использование ожидаемого сертификата .

ID	M1028	Название	Изменение конфигурации ОС	Описание	Групповая политика Windows может использоваться для управления корневыми сертификатами, и значение `Flags` в `HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots` может быть установлено в 1, чтобы запретить пользователям, не являющимся администраторами, производить дальнейшую установку корневых сертификатов в собственное хранилище сертификатов HKCU .

ID	Название	Описание
M1054	Изменение конфигурации ПО	HTTP Public Key Pinning (HPKP) — это один из методов защиты от атак типа "злоумышленник посередине", в которых злоумышленник использует неправильно выданный или поддельный сертификат для перехвата зашифрованных сообщений, обеспечивая использование ожидаемого сертификата .
M1028	Изменение конфигурации ОС	Групповая политика Windows может использоваться для управления корневыми сертификатами, и значение `Flags` в `HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots` может быть установлено в 1, чтобы запретить пользователям, не являющимся администраторами, производить дальнейшую установку корневых сертификатов в собственное хранилище сертификатов HKCU .