# AN1622 — Analytic 1622 ## Descrição Esta analítica detecta modificação de conteúdo web públicamente exposto em sistemas Windows por adversários que acessam e sobrescrevem arquivos HTML, JavaScript ou CSS hospedados, geralmente após implantação de web shell, abuso de credenciais ou exploração de vulnerabilidades em aplicações web. A telemetria inclui monitoramento de integridade de arquivos (FIM) nos diretórios raiz do servidor web (`C:\inetpub\wwwroot\`, `htdocs\`), Event ID 4663 (acesso a objeto de arquivo), e correlação com processos de servidor web (`w3wp.exe`, `apache.exe`) que gravam arquivos de conteúdo. Esta detecção é importante porque defacement e modificação de conteúdo web são frequentemente utilizados por hacktivistas e como distração durante operações de exfiltração. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1491-defacement|T1491 — Defacement]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1622](https://attack.mitre.org/detectionstrategies/DET0590#AN1622)*