# T1491.002 - External Defacement ## Descrição **External Defacement** (desfiguração de sites externos) é uma subtécnica de [[t1491-defacement|T1491 - Defacement]], classificada na tática **Impact** do framework [[mitre-attack|MITRE ATT&CK]]. Nesta técnica, adversários comprometem e alteram a aparência visual de websites públicos pertencentes a organizações-alvo com o objetivo de transmitir mensagens políticas, intimidar, semear desconfiança, ou causar dano reputacional. Diferente de técnicas puramente destrutivas, o defacement externo possui uma dimensão de **comunicação e propaganda**: o adversário não apenas danifica - ele pública, exibindo sua mensagem para qualquer visitante do site comprometido. Por isso, esta técnica é especialmente prevalente entre grupos **hacktivistas** e atores estatais com objetivos de influência, que buscam ampliar a visibilidade de sua mensagem às custas da credibilidade da organização alvo. O impacto operacional vai além do visual: sites desfigurados geram **desconfiança dos usuários** sobre a integridade dos sistemas da organização, podem ser vetores de desinformação (quando as mensagens públicadas são falsas), servem como sinalização de capacidade ofensiva a outros alvos, e frequentemente precedem ataques mais severos. Em contextos de conflito geopolítico, como observado na Ucrânia durante as operações do [[g0034-sandworm|Sandworm Team]] e [[g1003-ember-bear|Ember Bear]], o defacement é empregado como componente de operações de informação híbridas que combinam desinformação digital com ataques destrutivos. O defacement também pode funcionar como **precursor para** [[t1189-drive-by-compromise|Drive-by Compromise]]: uma vez controlando o site, o adversário pode injetar scripts maliciosos que comprometem visitantes sem alterar visualmente o conteúdo da página, tornando o comprometimento inicial mais valioso do que apenas a mensagem de defacement. > **Técnica pai:** [[t1491-defacement|T1491 - Defacement]] ## Como Funciona O defacement externo envolve primariamente o comprometimento de servidores web ou plataformas de hospedagem e a substituição do conteúdo legítimo por material controlado pelo adversário. Os vetores de comprometimento variam significativamente: **1. Exploração de vulnerabilidades em CMS (Content Management Systems)** WordPress, Joomla, Drupal e outros CMS são alvos frequentes devido à alta prevalência de instalações desatualizadas. Adversários exploram vulnerabilidades em plugins, temas ou no próprio core do CMS para obter acesso administrativo ou execução de código remoto. Uma vez com acesso ao sistema de arquivos do servidor, a substituição de arquivos HTML/PHP de índice pelo conteúdo de defacement é trivial. **2. Comprometimento de credenciais de administração** Ataques de força bruta, credential stuffing com credenciais vazadas em breaches anteriores, ou phishing direcionado a administradores de sistemas são utilizados para obter acesso ao painel administrativo do CMS ou ao servidor via SSH/FTP. Com acesso legítimo ao painel, o adversário modifica templates ou pública conteúdo diretamente. **3. Exploração de configurações incorretas em IaaS** Em sites hospedados em buckets S3 públicos com static website hosting habilitado, adversários que obtêm credenciais AWS com permissão `s3:PutObject` podem substituir o `index.html` diretamente, sem necessidade de comprometer o servidor web. Esta abordagem é especialmente comum em alvos de pequeno e médio porte que utilizam S3 para hospedagem estática. **4. Ataques à cadeia de suprimentos de conteúdo** Comprometimento de CDNs, provedores de DNS, ou registradores de domínio permitem redirecionar visitantes para páginas de defacement hospedadas pelo adversário sem necessidade de comprometer o servidor original - técnica conhecida como **DNS hijacking** ou **BGP hijacking** em casos mais sofisticados. **5. Injeção de conteúdo via vulnerabilidades XSS/SQLi** Vulnerabilidades de Cross-Site Scripting ou SQL Injection podem permitir a modificação de conteúdo armazenado em banco de dados, alterando textos e imagens exibidas sem acesso direto ao sistema de arquivos. ## Attack Flow ```mermaid graph TB A[Reconhecimento - Identificação de alvos e tecnologias web] --> B[Seleção do vetor de comprometimento] B --> C1[Exploração de CMS desatualizado] B --> C2[Credential stuffing / Brute force admin] B --> C3[Misconfiguration em S3 / IaaS] B --> C4[DNS Hijacking / Supply Chain] C1 --> D[Acesso ao servidor web ou painel CMS] C2 --> D C3 --> D C4 --> D D --> E[Substituição de conteúdo por mensagem de defacement] E --> F{Objetivo do adversário} F -- Hacktivismo --> G[Publicar mensagem política / propaganda] F -- Estado-nação --> H[Desinformação + Operação de Influência] F -- Persistência --> I[Injeção de script malicioso para Drive-by Compromise] G --> J[Dano reputacional + Desconfiança de usuários] H --> J I --> K[Comprometimento de visitantes do site] J --> L[Impacto final - Disrupção, desinformação, acesso persistente] K --> L ``` ## Exemplos de Uso ### Ember Bear e Sandworm Team - Ucrânia (2022) Os grupos de ameaça patrocinados pelo Estado russo [[g1003-ember-bear|Ember Bear]] (também conhecido como UAC-0056 / Lorec53) e [[g0034-sandworm|Sandworm Team]] realizaram extensas campanhas de defacement de sites governamentais ucranianos no início de 2022, imediatamente antes e durante a invasão militar russa. Os sites do Ministério das Relações Exteriores, Ministério da Educação e outros órgãos governamentais foram desfigurados com mensagens em ucraniano, russo e polonês afirmando que dados dos cidadãos haviam sido comprometidos - mensagem projetada para semear pânico e desconfiança, mesmo sendo em parte falsa. Notavelmente, o [[g1003-ember-bear|Ember Bear]] realizou defacements simultâneos em dezenas de sites governamentais usando o malware **WhisperGaté**, que disfarçava sua função destrutiva (wiper) com a aparência de um ataque de ransomware. O defacement era a camada visível de uma operação que, em segundo plano, destruía os sistemas alvejados. ### Hacktivismo no Contexto Brasileiro - Anonymous Brasil e Grupos Nacionais O Brasil possui um histórico extenso de defacements conduzidos por grupos hacktivistas nacionais. Durante períodos de crise política - incluindo manifestações de 2013, impeachment de 2016 e eleições de 2022 - sites governamentais, de partidos políticos, de empresas associadas a disputas trabalhistas e de veículos de mídia foram alvos frequentes. O grupo **Anonymous Brasil** e derivados desfiguraram centenas de sites durante operações coordenadas (Op Brasil, Op Não Há Mais, entre outras), tipicamente públicando críticas a políticas governamentais, denúncias de corrupção ou mensagens de solidariedade a movimentos sociais. ### Operações de Desinformação via Defacement Em variantes mais sofisticadas, atores estatais utilizam defacement para públicar desinformação que pode ser capturada por mídia e amplificada antes que o site sejá restaurado. A notícia "Site do Ministério X foi hackeado e públicou que Y" é frequentemente reproduzida mesmo após a restauração, perpetuando o dano informacional mesmo com o acesso técnico encerrado. ## Detecção A detecção de defacement externo combina monitoramento de integridade de conteúdo web com alertas em tempo real para modificações não autorizadas em servidores e armazenamentos de hospedagem. ```yaml title: Detecção de Modificação Não Autorizada de Arquivos Web Críticos status: experimental logsource: category: file_event product: linux service: auditd detection: selection_web_files: type: PATH name|endswith: - "/var/www/html/index.html" - "/var/www/html/index.php" - "/var/www/html/index.htm" syscall: write filter_authorized: uid: - 33 # www-data - 1000 # deploy user ppid|startswith: "deployer_" condition: selection_web_files and not filter_authorized level: high tags: - attack.impact - attack.t1491.002 falsepositives: - Atualizações legítimas de conteúdo pelo CMS ou pipeline de CI/CD - Rotações de certificados TLS que modificam configurações web ``` **Estrategia de detecção em múltiplas camadas:** - **Monitoramento de integridade de arquivos (FIM):** OSSEC, Wazuh ou Tripwire configurados para alertar imediatamente quando arquivos de índice web são modificados - **Verificação periódica de hash:** Scripts que comparam hash SHA-256 de arquivos críticos a uma baseline e alertam em caso de divergência - **Monitoramento de S3:** CloudTrail events para `s3:PutObject` em buckets de hospedagem estática fora de jánelas de deploy - **Web Application Firewall (WAF):** Alertas para padrões de requisições indicativos de exploração de CMS (tentativas de login em massa, scanning de plugins vulneráveis) - **Monitoramento de DNS:** Alertas para alterações em registros DNS do domínio da organização, especialmente registros A e CNAME - **Serviços de monitoramento de defacement:** Plataformas como Zone-H ou serviços específicos de monitoramento web que alertam quando um site é submetido a banco de dados de defacements conhecidos **Fontes de dados recomendadas:** - Logs de servidor web (Apache access.log, Nginx access.log) - identificar requisições POST/PUT não esperadas - Logs de CMS (WordPress, Drupal, Joomla) - login de administrador de IPs incomuns - AWS CloudTrail / GCP Audit Logs - modificações em objetos de buckets de hospedagem - Registros de DNS - alterações em registros autoritativos - FIM (File Integrity Monitoring) - modificações em arquivos estáticos de conteúdo ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1053 | [[m1053-data-backup\|M1053 - Data Backup]] | Manter backups regulares e testados do conteúdo web e banco de dados do CMS, armazenados em local isolado do servidor de produção. Backups permitem restauração rápida após defacement, minimizando o tempo de exposição da mensagem maliciosa e o impacto reputacional. Testar o processo de restauração regularmente - especialmente antes de períodos de alto risco (eleições, eventos políticos, datas comemorativas de grupos hacktivistas). | **Controles adicionais recomendados:** - **Manter CMS e plugins atualizados:** A maioria dos defacements exploram vulnerabilidades em versões desatualizadas de WordPress, Joomla ou Drupal. Implementar processo de patch management regular e automatizado para componentes web - **Princípio de menor privilégio para credenciais web:** O processo do servidor web (www-data, apache) não deve ter permissão de escrita em arquivos de conteúdo estático. Usar pipelines de CI/CD com credenciais temporárias para deploys - **Web Application Firewall (WAF):** Implementar WAF com regras para bloquear ataques de força bruta em painéis de administração, XSS e SQLi - **Autenticação multifator para painéis administrativos:** MFA obrigatório para acesso ao painel de administração de CMS - **Bloquear acesso a painéis de administração por IP:** Restringir `/wp-admin`, `/administrator` e equivalentes a IPs conhecidos da equipe de gestão de conteúdo - **Monitoramento contínuo de integridade (FIM):** Implementar Wazuh ou similar com alertas em tempo real para modificações em arquivos web críticos - **DNSSEC:** Proteger registros DNS com DNSSEC para prevenir ataques de DNS hijacking - **Proteção de registradores de domínio:** Habilitar bloqueio de transferência de domínio e autenticação de dois fatores no registrador ## Contexto Brasil/LATAM O Brasil é historicamente um dos países com maior volume de defacements registrados globalmente. Dados do Zone-H e Defacement Mirror indicam consistentemente o Brasil entre os cinco países com mais sites desfigurados anualmente - reflexo tanto da grande quantidade de sites hospedados quanto da ativa cena hacktivista nacional. **Contexto hacktivista brasileiro:** Grupos como Anonymous Brasil, LulzSec Brasil e dezenas de grupos menores com nomes regionais realizam operações de defacement regularmente, especialmente durante: - Períodos eleitorais - Protestos e manifestações sociais - Em resposta a escândalos de corrupção - Durante datas simbólicas (7 de setembro, aniversários de operações policiais, etc.) Sites de prefeituras pequenas, câmaras municipais, autarquias estaduais e empresas associadas a controvérsias políticas são alvos recorrentes, dada a menor maturidade de segurança dessas organizações. **Contexto de conflito geopolítico - impacto regional:** Embora o LATAM não sejá campo de batalha primário do conflito russo-ucraniano, embaixadas, representações diplomáticas e filiais de empresas com operações nos dois países têm sido alvos colaterais de defacements. Além disso, o modelo operacional do [[g0034-sandworm|Sandworm Team]] e [[g1003-ember-bear|Ember Bear]] serve como referência para grupos estatais de outros países da região que possam adotar táticas similares em conflitos bilaterais. **Setores mais afetados no Brasil:** - Governo municipal e estadual - alta quantidade de alvos com baixa maturidade de segurança - Partidos políticos e movimentos sociais - alvos ideológicos de grupos adversários - Veículos de comunicação - alvos de grupos que buscam amplificar desinformação - Instituições educacionais - universidades e escolas com sites frequentemente desatualizados **Regulatório:** Sites governamentais desfigurados no Brasil geram obrigação de notificação ao CTIR Gov (Centro de Tratamento de Incidentes de Redes do Governo Federal) e, dependendo do caso, ao CERT.br. A LGPD também pode ser acionada se o defacement expuser dados pessoais de usuários cadastrados no site comprometido. ## Referências - [MITRE ATT&CK - T1491.002: External Defacement](https://attack.mitre.org/techniques/T1491/002/) - [Microsoft MSTIC - Ember Bear WhisperGaté Ukraine Operations (2022)](https://www.microsoft.com/en-us/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/) - [Mandiant - UNC2589 / Ember Bear Profile](https://www.mandiant.com/resources/blog/unc2589-sandworm-team) - [CERT.br - Estatísticas de Incidentes Brasil](https://www.cert.br/stats/) - [Zone-H - Mirror de Defacements Globais](https://zone-h.org/) - [[g1003-ember-bear|Ember Bear]] - [[g0034-sandworm|Sandworm Team]] - [[t1491-defacement|T1491 - Defacement]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[m1053-data-backup|M1053 - Data Backup]] - [[t1070-indicator-removal|T1070 - Indicator Removal]] --- *Fonte: [MITRE ATT&CK - T1491.002](https://attack.mitre.org/techniques/T1491/002)*