# AN1108 — Analytic 1108 ## Descrição Este analítico detecta criação inesperada de arquivos em diretórios web seguida de processos do servidor web (como `w3wp.exe`) que iniciam shells de comando ou interpretadores de script (como `cmd.exe`, `powershell.exe`). Utiliza telemetria de Sysmon (Event IDs 1, 11), logs de acesso do IIS e monitoramento de linhagem de processos para identificar webshells recém-implantados. A detecção é fundamental porque webshells em servidores Windows IIS são um vetor de persistência amplamente utilizado por APTs para manter acesso após exploração de aplicações web vulneráveis. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN1108](https://attack.mitre.org/detectionstrategies/DET0394#AN1108)*