# DET0547 — Detection Strategy for T1505 - Server Software Component ## Descrição A instalação de componentes maliciosos em software de servidor ([[t1505-server-software-component|T1505 — Server Software Component]]) é uma técnica de persistência de alto impacto onde adversários implantam backdoors diretamente em servidores web, servidores de aplicação ou sistemas de middleware. As subtécnicas mais críticas incluem: web shells (arquivos PHP/ASP/JSP/ASPX maliciosos em diretórios web), IIS ISAPI filters e modules (DLLs carregadas pelo IIS), Transport Agents do Exchange (DLLs carregadas pelo Exchange para inspecionar e modificar e-mails em trânsito), e SQL stored procedures maliciosas. Web shells são particularmente prevalentes em campanhas de exploração massiva de vulnerabilidades em servidores públicos. A detecção de web shells é o caso de uso mais comum — monitoramento de criação de arquivos em diretórios web (`/var/www/`, `C:\inetpub\`, `/opt/tomcat/webapps/`) por processos que não sejam ferramentas de deploy legítimas. Web shells frequentemente são criados pelo processo do servidor web (httpd, w3wp.exe, tomcat) após exploração de uma vulnerabilidade de upload de arquivo ou command injection. Exchange Transport Agents são detectáveis por monitoramento de modificações em `C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\agents\` e no registro de Transport Agents via `Get-TransportAgent`. A correlação comportamental inclui: (1) criação de arquivo script em diretório web → (2) acesso ao arquivo via request HTTP de IP externo → (3) execução de processo filho pelo servidor web (cmd.exe, powershell.exe, sh, bash) é a cadeia completa de web shell. Ferramentas como Microsoft Defender for Endpoint e soluções de CWPP detectam esta cadeia automaticamente, mas a detecção baseada em hash de arquivo é insuficiente para web shells polimórficos ou ofuscados. ## Indicadores de Detecção - Criação de arquivo com extensão `.php`, `.asp`, `.aspx`, `.jsp` em diretório web por processo que não sejá servidor de deploy (não `git`, `rsync`, `ansible`) - Processo de servidor web (`w3wp.exe`, `httpd`, `nginx`) gerando processo filho (`cmd.exe`, `powershell.exe`, `sh`, `bash`) - Acesso HTTP a arquivo criado recentemente em diretório web com resposta 200 e tamanho de response muito pequeno (web shell mínimo) - Modificação de `applicationHost.config` (IIS) ou `httpd.conf` adicionando módulo de DLL não-assinada - `Get-TransportAgent` retornando agent não listado no inventário aprovado de Transport Agents do Exchange - Arquivo SQL contendo `xp_cmdshell`, `sp_oacreaté` ou `openrowset` em banco de dados de aplicação ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] — técnica principal coberta por esta estratégia - [[t1505-003-web-shell|T1505.003 — Web Shell]] — subtécnica de web shells em servidores web - [[t1505-002-transport-agent|T1505.002 — Transport Agent]] — backdoors em servidores de e-mail - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] — exploração que precede instalação de web shell - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] — execução de comandos via web shell ## Analytics Relacionadas - [[an1507-analytic-1507|AN1507 — Analytic 1507]] - [[an1508-analytic-1508|AN1508 — Analytic 1508]] - [[an1509-analytic-1509|AN1509 — Analytic 1509]] - [[an1510-analytic-1510|AN1510 — Analytic 1510]] --- *Fonte: [MITRE ATT&CK — DET0547](https://attack.mitre.org/detectionstrategies/DET0547)*