det0082-internal-website-and-system-content-defacement-via-ui-or-messaging-modif

# DET0082 — Internal Website and System Content Defacement via UI or Messaging Modifications ## Descrição Esta estratégia detecta desfiguração de conteúdo interno — sites intranet, portais corporativos e sistemas de mensagens — como resultado de modificações não autorizadas em UI ou mensagens de sistema. O objetivo dos adversários é geralmente causar impacto psicológico, disseminar desinformação entre funcionários ou sinalizar comprometimento bem-sucedido. Os indicadores primários incluem alterações inesperadas em páginas HTML de sistemas internos, modificação de templates de e-mail corporativo, banners de login adulterados e substituição de arquivos estáticos em servidores web internos. Ferramentas de monitoramento de integridade de arquivos (FIM) e logs de acesso ao servidor web são as principais fontes de telemetria. A cobertura é ampliada ao correlacionar eventos de autenticação bem-sucedidos seguidos de escrita em diretórios web, execução de comandos de upload por contas de serviço ou acesso fora do horário esperado a painéis de administração. Grupos como [[g0032-lazarus-group]] e [[g0034-sandworm]] utilizam desfiguração como tática de impacto em campanhas destrutivas. ## Indicadores de Detecção - Modificação de arquivos HTML/CSS/JS em diretórios de servidor web interno fora de janelas de manutenção - Acesso de escrita a diretórios web por processos não esperados (ex: `cmd.exe`, `powershell.exe`, `curl`) - Alteração de templates de e-mail corporativo via API de plataformas como Exchange ou Office 365 - Upload de arquivos não assinados para CDN ou storage interno - Mudanças em registros DNS internos ou redirecionamentos inesperados em proxies reversos - Eventos de login privilegiado em CMS (WordPress, SharePoint) seguidos de edição de conteúdo ## Técnicas Relacionadas - [[t1491001-defacement-internal]] — Desfiguração de recursos web internos - [[t1491-defacement]] — Desfiguração genérica - [[t1078-valid-accounts]] — Uso de credenciais legítimas para acesso inicial ao painel - [[t1059-command-and-scripting-interpreter]] — Execução de scripts para modificar conteúdo - [[t1565-data-manipulation]] — Manipulação de dados para impacto ## Analytics Relacionadas - [[an0229-analytic-0229|AN0229 — Analytic 0229]] - [[an0230-analytic-0230|AN0230 — Analytic 0230]] - [[an0231-analytic-0231|AN0231 — Analytic 0231]] - [[an0232-analytic-0232|AN0232 — Analytic 0232]] --- *Fonte: [MITRE ATT&CK — DET0082](https://attack.mitre.org/detectionstrategies/DET0082)*