# AN0230 — Analytic 0230 ## Descrição Detecta no Linux acesso root ou sudo para alterar banners de sistema, diretórios de conteúdo web (ex.: `/var/www/html`) ou configurações de login (`/etc/issue`), com criação ou sobregravação de arquivo podendo coincidir com execução de script suspeita ou atividade de job cron. A telemetria inclui auditd para gravações em caminhos de banner e raiz web por usuários privilegiados fora de janelas de manutenção esperadas, análise de linhagem de processos identificando scripts ou shells escrevendo nesses locais e monitoramento de modificação de `/etc/issue` ou `/etc/motd` via tripwire/AIDE. Essa analítica é relevante para detectar defacement de sistemas Linux e sabotagem de infraestrutura web, especialmente em servidores de governo e organizações financeiras do Brasil que são alvos frequentes de grupos hacktivistas durante eventos políticos ou protestos que utilizam defacement como forma de comunicação. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1491-defacement|T1491 — Defacement]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0230](https://attack.mitre.org/detectionstrategies/DET0082#AN0230)*