# AN1625 — Analytic 1625 ## Descrição Esta analítica detecta modificação de conteúdo em websites hospedados em cloud (AWS S3, Azure Blob Storage, Google Cloud Storage) por adversários que obtiveram acesso a consoles de gerenciamento ou APIs de storage e realizaram upload de arquivos HTML/JS alterados. A telemetria inclui logs de operações de escrita em buckets S3 (`PutObject`, `DeleteObject`) via AWS CloudTrail, alertas de política de bucket para escritas por usuários ou roles não autorizadas e versionamento de objetos com diff de conteúdo. Esta detecção é crítica em ambientes cloud-native onde websites estáticos em object storage são frequentemente subestimados como vetores de ataque. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1491-defacement|T1491 — Defacement]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN1625](https://attack.mitre.org/detectionstrategies/DET0590#AN1625)*