# AN0219 — Analytic 0219 ## Descrição Detecta uma cadeia de exploração de aplicação pública onde o adversário envia entrada HTTP/S criada para um app voltado à internet (IIS/ASP.NET, API, portal de dispositivo), com padrões anômalos de requisição levando a 4xx/5xx elevados ou métodos/caminhos incomuns, o processo do servidor (w3wp.exe ou outro serviço) gerando shell/LOLBins ou carregando módulos não padrão, e opcionalmente callback de saída do host/contêiner. A telemetria inclui logs de acesso IIS/W3C com análise de anomalias de requisição, eventos Sysmon de criação de processo por w3wp.exe e correlação com conexões de rede de saída pós-requisição suspeita para identificar callbacks de webshell. Essa analítica é crítica para detectar exploração de aplicações web voltadas para internet, o segundo vetor de acesso inicial mais comum em ataques APT, onde um único endpoint vulnerável pode comprometer toda a infraestrutura interna. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] --- *Fonte: [MITRE ATT&CK — AN0219](https://attack.mitre.org/detectionstrategies/DET0080#AN0219)*