det0590-behavioral-detection-of-external-website-defacement-across-platforms

# DET0590 — Behavioral Detection of External Website Defacement across Platforms ## Descrição O defacement de websites externos ([[T1491.002 - Defacement External Defacement|T1491.002]]) é uma técnica de impacto utilizada por hacktivistas e grupos de ameaças com motivação geopolítica para degradar a reputação de organizações-alvo. No Brasil e LATAM, grupos hacktivistas frequentemente realizam defacements em sites de governo, instituições financeiras e empresas durante períodos de conflito político, protestos ou em resposta a eventos geopolíticos. A técnica envolve modificação de arquivos HTML/PHP/CSS no servidor web ou alteração de DNS para redirecionar visitantes para conteúdo controlado pelo adversário. A detecção comportamental é necessária porque defacements bem executados podem ocorrer rapidamente após o comprometimento inicial e causar dano reputacional significativo antes da correção. Sistemas de monitoramento de integridade de website (WIM — Website Integrity Monitoring) que comparam hashes de arquivos web com baseline verificado periodicamente são a abordagem mais eficaz. Alertas para modificação de arquivos HTML, JS ou PHP no webroot por processos não-CMS ou não-deploy pipeline devem ser de alta prioridade. Em ambientes multi-plataforma, a detecção cobre servidores Apache/Nginx em Linux, IIS em Windows e plataformas cloud (S3 static hosting, Azure Static Web Apps, CloudFront). Alertas de WAF para traffic spikes seguidos de mudança no conteúdo servido, ou alteração de registro DNS sem mudança no CMDB, são sinais complementares relevantes. ## Indicadores de Detecção - Modificação de arquivos HTML, PHP ou JS no webroot por processo não pertencente ao pipeline de deploy - Hash de página inicial (`index.html`, `index.php`) diferindo do baseline de monitoramento de integridade - Upload de arquivo via interface administrativa do CMS (WordPress, Joomla) por IP não reconhecido - Registro DNS alterado por usuário diferente do responsável habitual ou sem ticket de mudança - Traffic spike para o site seguido de aumento de bounce raté (indicando conteúdo alterado) - Processo webserver criando ou sobrescrevendo arquivo HTML fora de pipeline de CI/CD ## Técnicas Relacionadas - [[T1491.002-defacement-external-defacement|T1491.002 — External Defacement]] - [[t1491-defacement|T1491 — Defacement]] - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] ## Analytics Relacionadas - [[an1622-analytic-1622|AN1622 — Analytic 1622]] - [[an1623-analytic-1623|AN1623 — Analytic 1623]] - [[an1624-analytic-1624|AN1624 — Analytic 1624]] - [[an1625-analytic-1625|AN1625 — Analytic 1625]] --- *Fonte: [MITRE ATT&CK — DET0590](https://attack.mitre.org/detectionstrategies/DET0590)*