# AN1321 — Analytic 1321 ## Descrição Detecta adulteração de páginas de login baseadas em IIS (como `default.aspx` ou `login.aspx`) vinculadas a portais VPN, OWA ou SharePoint via injeção de script ou processos de editor inesperados modificando web roots. A telemetria inclui monitoramento de integridade de arquivos em diretórios IIS, eventos de criação de processos de editores de texto em servidores web, logs do IIS e alertas de SIEM sobre modificações em arquivos `.aspx` de autenticação por processos não esperados. Esta detecção é essencial para identificar comprometimento de portais de acesso empresarial no Windows onde adversários modificam páginas de login para capturar credenciais de todos os usuários que autenticam no sistema, especialmente em OWA e portais VPN corporativos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1505-003-web-shell|T1505.003 — Web Shell]] - [[t1056-001-keylogging|T1056.001 — Keylogging]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN1321](https://attack.mitre.org/detectionstrategies/DET0480#AN1321)*