det0238-defacement-via-file-and-web-content-modification-across-platforms

# DET0238 — Defacement via File and Web Content Modification Across Platforms ## Descrição Esta estratégia detecta ataques de defacement (desfiguração) de websites e sistemas, onde adversários modificam arquivos de conteúdo web ou arquivos críticos do sistema para exibir mensagens políticas, provar acesso ou causar dano reputacional. Grupos hacktivistas e atores patrocinados por estados usam essa técnica como forma de impacto e comunicação. A detecção foca em modificações não autorizadas de arquivos servidos por servidores web (`index.html`, `index.php`, arquivos CSS/JS), alterações de conteúdo em buckets S3 ou CDN públicos, e modificações de arquivos de configuração de servidores. O monitoramento de integridade de arquivos (FIM) em diretórios raiz de aplicações web é o controle principal. A telemetria necessária inclui File Integrity Monitoring em `webroot`, alertas de Content Security Policy (CSP) violations nos navegadores, logs de acesso ao servidor web com correlação de IP de escrita, e alertas de mudança de hash em arquivos críticos de aplicação. ## Indicadores de Detecção - Modificação de `index.html`, `index.php` ou arquivos de templaté por processo não-CMS/deploy - Upload de arquivo com conteúdo HTML ou imagem via formulário web em caminho não previsto - Alteração de conteúdo em bucket S3 público por usuário ou role não pertencente ao pipeline de deploy - Processo web server (`apache2`, `nginx`) escrevendo em diretório de conteúdo estático (incomum) - Novo arquivo `.html` com palavras-chave de defacement criado em webroot (ex: "hacked by", "ownz") - Mudança de hash de arquivo de conteúdo estático sem correspondência em histórico de deploy/git ## Técnicas Relacionadas - [[t1491-defacement|T1491 — Defacement]] - [[T1491.001-internal-defacement|T1491.001 — Internal Defacement]] - [[T1491.002-external-defacement|T1491.002 — External Defacement]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] ## Analytics Relacionadas - [[an0662-analytic-0662|AN0662 — Analytic 0662]] - [[an0663-analytic-0663|AN0663 — Analytic 0663]] - [[an0664-analytic-0664|AN0664 — Analytic 0664]] - [[an0665-analytic-0665|AN0665 — Analytic 0665]] - [[an0666-analytic-0666|AN0666 — Analytic 0666]] --- *Fonte: [MITRE ATT&CK — DET0238](https://attack.mitre.org/detectionstrategies/DET0238)*