det0480-detection-of-credential-harvesting-via-web-portal-modification

# DET0480 — Detection of Credential Harvesting via Web Portal Modification ## Descrição Esta estratégia cobre a detecção de coleta de credenciais por meio da modificação de portais web legítimos para capturar credenciais de usuários. Adversários comprometem servidores web ou injetam código malicioso em formulários de login de portais corporativos, VPNs, Office 365 e sistemas internos para capturar credenciais em texto claro. Essa técnica é associada a [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] e [[t1185-browser-session-hijacking|T1185]] no framework MITRE ATT&CK. A detecção envolve monitorar mudanças não autorizadas em arquivos de configuração de servidores web, scripts de formulários de autenticação e injeção de JavaScript externo em páginas de login. Grupos de espionagem como [[g0016-apt29|APT29]] e atores financeiros como [[g0046-fin7|FIN7]] utilizam essa técnica para coletar credenciais em escala antes de realizar movimentos laterais. O uso de ferramentas como webshells facilita a modificação persistente de portais comprometidos. O monitoramento de integridade de arquivos (FIM) em diretórios de servidores web, alertas sobre carregamento de recursos externos em páginas de autenticação e análise de logs de acesso para identificar exfiltração de credenciais por requisições HTTP incomuns são os pilares desta estratégia de detecção. ## Indicadores de Detecção - Modificação não autorizada de arquivos HTML/PHP/ASP em diretórios de portais de autenticação - Injeção de tags `<script>` referênciando domínios externos em páginas de login - Requisições POST para endpoints incomuns a partir de formulários de autenticação legítimos - Presença de webshell ou código PHP/ASP de execução remota em diretórios web públicos - Alteração de hash de arquivos críticos de autenticação detectada por FIM (File Integrity Monitoring) - Exfiltração de credenciais via requisições GET/POST para domínios recém-registrados ou IPs externos - Certificados TLS expirados ou inválidos em portais que normalmente usam certificados válidos (indicativo de clonagem) ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[T1505.003-server-software-component-web-shell|T1505.003 — Web Shell]] - [[t1071-001-web-protocols|T1071.001 — Web Protocols]] - [[t1185-browser-session-hijacking|T1185 — Browser Session Hijacking]] - [[t1114-email-collection|T1114 — Email Collection]] ## Analytics Relacionadas - [[an1320-analytic-1320|AN1320 — Analytic 1320]] - [[an1321-analytic-1321|AN1321 — Analytic 1321]] - [[an1322-analytic-1322|AN1322 — Analytic 1322]] --- *Fonte: [MITRE ATT&CK — DET0480](https://attack.mitre.org/detectionstrategies/DET0480)*