# AN0229 — Analytic 0229 ## Descrição Detecta modificação pelo adversário de mensagens internas de UI (ex.: banners de login, papéis de parede do desktop) ou páginas web da intranet hospedadas por meio de criação ou alteração de arquivos de conteúdo usando scripts ou acesso não autorizado, frequentemente precedida de escalada de privilégios ou implantação de webshell. A telemetria inclui eventos Sysmon de modificação de arquivo em caminhos de wallpaper do Windows ou diretórios de raiz web (ex.: `C:\inetpub\wwwroot`), auditoria de registro para alterações em políticas de Wallpaper corporativo via GPO e análise de linhagem de processos gravando nesses locais para identificar acesso não administrativo. Essa analítica detecta ataques de defacement e sabotagem visual, frequentemente utilizados por hacktivistas para comunicar mensagens políticas ou por adversários buscando causar disrupção e dano reputacional a organizações alvo. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1491-defacement|T1491 — Defacement]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1505-server-software-component|T1505 — Server Software Component]] --- *Fonte: [MITRE ATT&CK — AN0229](https://attack.mitre.org/detectionstrategies/DET0082#AN0229)*