# AN0662 — Analytic 0662 ## Descrição Detecta modificações adversariais em conteúdo de websites ou aplicações via alterações não autorizadas de arquivos ou injeções de script, frequentemente explorando servidores web ou acesso a CMS. A telemetria inclui logs do IIS/Apache/Nginx, eventos de integridade de arquivos (FIM) e logs de acesso ao servidor web que capturam gravações suspeitas em diretórios `wwwroot` ou `htdocs` por processos não pertencentes ao servidor web. Essa analítica é importante para detectar defacement e implantação de webshells, técnicas utilizadas tanto por hacktivistas quanto por atores APT para estabelecer persistência e comando e controle em servidores expostos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1491-defacement|T1491 — Defacement]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0662](https://attack.mitre.org/detectionstrategies/DET0238#AN0662)*