# DET0349 — Detection Strategy for Content Injection ## Descrição Esta estratégia detecta injeção de conteúdo malicioso em comúnicações de rede legítimas — modificação de respostas HTTP/HTTPS, injeção em tráfego DNS, adulteração de conteúdo de páginas web em trânsito — como técnica de comprometimento de usuários ou sistemas que confiam nessas comúnicações. A técnica [[t1659-content-injection|T1659-content-injection]] é característica de ataques adversary-in-the-middle (AiTM) e de dispositivos de rede comprometidos. A detecção requer monitoramento de integridade de conteúdo web — via SRI (Subresource Integrity) para scripts, verificação de certificados TLS e análise de respostas HTTP para identificar modificações. Discrepâncias entre hash de recurso servido e hash esperado, ou presença de scripts não registrados em respostas de aplicações conhecidas, são sinais fortes. Ataques de injeção de conteúdo são relevantes em cenários de comprometimento de roteadores domésticos e corporativos, onde o dispositivo de rede intermedia e modifica o tráfego. Em LATAM, grupos que comprometem roteadores para injetar páginas de phishing bancário (DNS hijacking + content injection) são bem documentados. ## Indicadores de Detecção - Recursos web (JS, CSS) servidos com hash diferente do registrado em baseline de integridade - Scripts não presentes na lista de fontes autorizadas (CSP) carregados por aplicação corporativa - Respostas HTTP com `Content-Length` diferente do corpo real recebido (possível inserção em trânsito) - Certificados TLS não correspondendo ao esperado para domínio (certificaté pinning violation) - Resolução DNS retornando IPs diferentes dos registros autoritativos para domínios críticos - Páginas de login com campos de formulário adicionais não presentes no código original (web skimming) ## Técnicas Relacionadas - [[t1659-content-injection|T1659-content-injection]] — técnica primária - [[t1557-adversary-in-the-middle|T1557-adversary-in-the-middle]] — AiTM habilitando a injeção de conteúdo - [[t1040-network-sniffing|T1040-network-sniffing]] — captura de tráfego relacionada - [[t1565-data-manipulation|T1565-data-manipulation]] — manipulação de dados em trânsito - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — protocolo HTTP/HTTPS onde a injeção ocorre ## Analytics Relacionadas - [[an0992-analytic-0992|AN0992 — Analytic 0992]] - [[an0993-analytic-0993|AN0993 — Analytic 0993]] - [[an0994-analytic-0994|AN0994 — Analytic 0994]] --- *Fonte: [MITRE ATT&CK — DET0349](https://attack.mitre.org/detectionstrategies/DET0349)*