# DET0059 — Detection Strategy for Data Manipulation ## Descrição Esta estratégia detecta manipulação maliciosa de dados em repouso ou em trânsito com objetivo de impactar integridade de informações críticas sem destruí-las — tornando a detecção mais difícil do que ataques de ransomware ou wiper. Adversários alteram registros financeiros, dados de configuração de sistemas industriais (ICS/SCADA), resultados médicos, código-fonte ou bases de dados críticas para comprometer tomada de decisão, causar danos operacionais, ou inserir backdoors em software legítimo. Alinhada a [[t1565-data-manipulation|T1565-data-manipulation]], a técnica inclui modificação de transações em bancos de dados (T1565.001), substituição de arquivos em trânsito (T1565.002), e manipulação de dados em sistemas operacionais em tempo real (T1565.003). Campanhas de sabotagem industrial e operações de desinformação frequentemente usam esse vetor. No contexto brasileiro, ataques ao setor financeiro podem envolver alteração de valores de transações em sistemas legados. A detecção requer monitoramento de integridade de arquivos (FIM) com baseline, auditoria de modificações em bancos de dados críticos via logs de query, análise de checksum de arquivos de configuração, e comparação de hash de binários em produção com versões conhecidas. A detecção de modificações pequenas (diff mínimo) em arquivos de alto valor é o desafio central — diferente de ransomware que cifra tudo, a manipulação é cirúrgica. ## Indicadores de Detecção - Modificação de arquivo de configuração crítico (`/etc/passwd`, configurações de banco de dados) por processo não-gerenciador - Query SQL de UPDATE/DELETE em tabela financeira ou de autenticação fora de janela de manutenção - Checksum de binário em produção diferente do armazenado no repositório de software - Modificação de pequena porção de arquivo de dados crítico (diff < 1%) sem commit associado em sistema de controle de versão - Acesso de escrita a dados de transação por usuário de serviço que normalmente tem apenas leitura ## Técnicas Relacionadas - [[t1565-data-manipulation|T1565-data-manipulation]] — técnica primária detectada - [[T1565.001-data-manipulation-stored-data-manipulation]] — manipulação de dados em repouso - [[T1565.002-data-manipulation-transmitted-data-manipulation]] — manipulação em trânsito - [[t1485-data-destruction|T1485-data-destruction]] — versão mais agressiva de impacto a dados - [[t1491-defacement|T1491-defacement]] — manipulação de conteúdo público como variante ## Analytics Relacionadas - [[an0162-analytic-0162|AN0162 — Analytic 0162]] - [[an0163-analytic-0163|AN0163 — Analytic 0163]] - [[an0164-analytic-0164|AN0164 — Analytic 0164]] --- *Fonte: [MITRE ATT&CK — DET0059](https://attack.mitre.org/detectionstrategies/DET0059)*