# AN1320 — Analytic 1320 ## Descrição Detecta modificações não autorizadas em arquivos de páginas web voltados para login (como `index.php` ou `login.js`) tipicamente associados a portais VPN, SSO ou intranet. Correlaciona alterações suspeitas em arquivos com artefatos de acesso remoto ou comportamento de web shell. A telemetria inclui monitoramento de integridade de arquivos (FIM), logs do servidor web (Apache/Nginx) e eventos de auditd para escrita em diretórios de web root. Esta detecção é crítica para identificar implantes em páginas de login que visam capturar credenciais de usuários em massa, uma técnica utilizada em campanhas de comprometimento de acesso inicial que afetam organizações com portais de acesso remoto públicos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1505-003-web-shell|T1505.003 — Web Shell]] - [[t1056-001-keylogging|T1056.001 — Keylogging]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN1320](https://attack.mitre.org/detectionstrategies/DET0480#AN1320)*