# AN0184 — Analytic 0184 ## Descrição Detecta a instalação ou modificação de componentes IIS (filtros ISAPI, extensões ou módulos) usando arquivos DLL registrados via alterações de configuração ou ferramentas administrativas como AppCmd.exe, componentes que interceptam ou manipulam requisições/respostas HTTP para persistência ou C2. A telemetria inclui logs de eventos do IIS (Event ID 5002/5200), alterações nos arquivos de configuração `applicationHost.config` via auditoria de arquivos, uso de AppCmd.exe com parâmetros de instalação de módulo e carregamento incomum de DLLs pelo processo w3wp.exe via Sysmon (EventID 7). Essa analítica é de alta relevância porque webshells e backdoors baseados em módulos IIS são persistentes, resilientes a reinicializações e difíceis de identificar, sendo uma técnica favorita de grupos APT para manter acesso de longo prazo a servidores web voltados para a internet. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN0184](https://attack.mitre.org/detectionstrategies/DET0068#AN0184)*