# AN1507 — Analytic 1507 ## Descrição Detecta a instalação de módulos maliciosos em servidores IIS, Apache ou SQL Server que posteriormente executam interpretadores de linha de comando ou estabelecem conexões de saída. A telemetria inclui logs de eventos do IIS, eventos de carregamento de módulos do servidor web, Sysmon EventID 7 para DLLs carregadas em processos de servidor e correlação com conexões de rede de saída de processos de servidor web. Esta analítica é crítica para detectar webshells e módulos backdoor em servidores Windows voltados para internet, técnica utilizada por grupos APT e operadores de ransomware para estabelecer persistência persistente em servidores web comprometidos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN1507](https://attack.mitre.org/detectionstrategies/DET0547#AN1507)*