# T1491 - Defacement ## Descrição **Defacement** (Desfiguração) é uma técnica da tática **Impact** do framework [[mitre-attck|MITRE ATT&CK]] pela qual adversários modificam conteúdo visual disponível interna ou externamente a uma rede corporativa, comprometendo a integridade do conteúdo original com objetivos de intimidação, propaganda, extorsão, sabotagem ou reivindicação de autoria de um ataque. A técnica é ampla e abrange dois cenários distintos - cada um com motivações e audiências diferentes -, formalizados como sub-técnicas: - **[[t1491-001-internal-defacement|T1491.001 - Internal Defacement]]** - modificação de sistemas internos (wallpapers, portais de intranet, banners de login, interfaces de hypervisors) visando intimidar funcionários, sinalizar o nível de acesso obtido ou causar pânico operacional dentro da organização comprometida - **[[t1491-002-external-defacement|T1491.002 - External Defacement]]** - modificação de ativos públicos da organização (sites institucionais, portais de serviços, páginas de governo) com mensagens políticas, ideológicas ou de reivindicação, visando audiência externa e dano reputacional O que unifica ambas as sub-técnicas é o **ataque à integridade da informação apresentada**: o adversário não rouba dados nem criptografa sistemas - ele altera a narrativa visual da organização, sejá para seus próprios funcionários, sejá para o público externo. Por essa razão, o Defacement frequentemente representa a **fase final de um ataque** ou um **ato deliberado de saída com estrondo** - ocorre depois que objetivos primários (espionagem, extorsão, sabotagem) foram cumpridos, ou quando o objetivo desde o início era o impacto psicológico e de imagem. As motivações documentadas para uso de Defacement incluem: | Motivação | Perfil do Ator | Exemplo | |-----------|---------------|---------| | Propaganda política/hacktivismo | Grupos hacktivistas, APTs com mandato estatal | Ataques pró-Rússia a sites ucranianos | | Extorsão - prova de acesso | Ransomware operators | BlackCat, BlackByte, LockBit | | Sabotagem e disrupção | APTs destrutivos | Lazarus Group, Sandworm | | Reivindicação de ataque | Grupos hacktivistas, cybercrime | Anonymous, Killnet | | Psyops / Desinformação | APTs estado-nação | GRU (Fancy Bear/Sandworm) | | Demonstração de capacidade | APTs, grupos emergentes | Múltiplos grupos LATAM | A técnica afeta plataformas diversas: Windows, Linux, macOS, IaaS (nuvem) e ESXi (ambientes de virtualização). Em ambientes de nuvem, a desfiguração pode afetar buckets S3 públicos, instâncias de servidor web em EC2/GCP/Azure ou CDN comprometidas - ampliando o alcance geográfico e o impacto de forma exponencial. ## Como Funciona O Defacement segue padrões distintos conforme o sub-tipo (interno vs. externo) e o vetor de acesso inicial, mas compartilha elementos comuns em seu ciclo de vida: **Acesso e Persistência Prévia** O adversário já possui acesso estabelecido ao ambiente - o Defacement raramente é o primeiro passo. Sejá via exploração de vulnerabilidades web ([[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]]), comprometimento de credenciais ([[t1078-valid-accounts|T1078 - Valid Accounts]]), ou movimento lateral a partir de um foothold inicial, o atacante deve primeiro atingir o sistema-alvo com permissões suficientes. **Identificação de Ativos de Alto Impacto Visual** Para Defacement externo: identificação de web servers, CMS (WordPress, Drupal, Joomla), portais de governo ou sites institucionais. Para interno: servidores de arquivos acessíveis via GPO, portais de intranet, consoles de hypervisor. A seleção do ativo mais visível maximiza o impacto da ação. **Execução da Modificação** - Escrita direta em sistema de arquivos (via shell, RDP, SMB) - Modificação via API do CMS comprometido - Alteração de configurações de GPO para modificação em massa de wallpapers - Exploração de vulnerabilidades em plataformas de gerenciamento de conteúdo - Manipulação de arquivos de templaté ou CSS para alteração visual de portais **Timing Estratégico** Grupos sofisticados escolhem o momento da desfiguração com precisão: durante feriados nacionais, eventos políticos relevantes, ou após atingir o pico de exfiltração de dados - quando a resposta do time de segurança já não pode reverter os danos primários. ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>Identificação de ativos web/internos"] --> B["Acesso Inicial<br/>T1190 Exploit / T1078 Credenciais"] B --> C["Persistência<br/>Webshell / Backdoor implantado"] C --> D["Reconhecimento Interno<br/>Mapeamento de ativos visuais"] D --> E{"Objetivo do Defacement"} E --> F["Impacto Externo<br/>T1491.002 - External Defacement"] E --> G["Impacto Interno<br/>T1491.001 - Internal Defacement"] F --> H["Modificação de Site Público<br/>Web server / CMS / CDN"] G --> I["Modificação de Sistemas Internos<br/>Wallpaper / Intranet / Banners"] H --> J["Impacto Reputacional<br/>Público / Mídia / Reguladores"] I --> K["Impacto Operacional<br/>Pânico / Desconfiança / Extorsão"] J --> L["Objetivo Cumprido<br/>Propaganda / Sabotagem / Ransom"] K --> L ``` ## Exemplos de Uso ### Killnet e NoName057(16) - Campanhas contra Infraestrutura Europeia e LATAM O grupo hacktivista pró-Rússia Killnet e o NoName057(16) combinam ataques DDoS com Defacement externo de sites governamentais e de infraestrutura crítica em países que apoiaram a Ucrânia. Países da Europa Oriental, Itália, Alemanha e, em menor escala, Brasil e Argentina foram alvos de campanhas de desfiguração de portais governamentais, exibindo mensagens políticas e bandeiras russas. Esses ataques, embora técnicamente simples, geram cobertura midiática desproporcional ao esforço técnico empregado. ### Sandworm (GRU Unit 74455) - Campanhas Destrutivas na Ucrânia O [[g0034-sandworm|Sandworm]], unidade de ciberguerra do GRU russo, combina Defacement com ataques destrutivos de alta sofisticação. Em janeiro de 2022, horas antes da invasão militar russa, o Sandworm desfigurou dezenas de sites governamentais ucranianos com a mensagem "Tenha medo e espere o pior" - em ucraniano, polonês e russo - ao mesmo tempo em que implantava o wiper [[whispergaté|WhisperGaté]] em sistemas críticos. O Defacement serviu como sinal de operação psicológica (PSYOP) coordenada com a ofensiva militar. ### Grupos Ransomware - Defacement como Mecanismo de Extorsão Operadores de ransomware como [[blackcat|BlackCat]] (ALPHV), [[lockbit|LockBit]] e [[g1043-blackbyte|BlackByte]] utilizam sistematicamente o [[t1491-001-internal-defacement|T1491.001 - Internal Defacement]] como componente padrão do playbook de extorsão. Após implantação de ransomware, todos os endpoints acessíveis exibem notas de resgate como wallpaper, enquanto sites de vazamento de dados do grupo exibem contadores regressivos e amostras de dados exfiltrados - combinando as sub-técnicas interno e externo para maximizar pressão sobre a vítima. ### Hacktivismo Brasileiro - Operações contra Governo e Empresas O Brasil possui ecossistema ativo de grupos hacktivistas com histórico de Defacement externo de sites governamentais e corporativos. Grupos como LulzSec Brasil, Anonymous Brasil e grupos menores frequentemente desfiguram portais de prefeituras, tribunais, universidades públicas e empresas em resposta a eventos políticos ou escândalos corporativos. Durante períodos eleitorais e de protestos sociais (2013, 2016, 2022), o volume de desfigurações documentadas aumenta consideravelmente, conforme dados do CERT.br. ### Lazarus Group - Operações de Sabotagem com Componente de Desfiguração O [[g0032-lazarus-group|Lazarus Group]] combina Defacement com ataques destrutivos em campanhas de alto impacto. O ataque à Sony Pictures Entertainment (2014) incluiu desfiguração de sistemas internos com imagens do grupo "Guardians of Peace", combinada com implantação de wipers e exfiltração de dados. Este padrão - espionagem + extorsão + desfiguração + destruição - tornou-se referência para campanhas de alto impacto com múltiplos objetivos simultâneos. ## Detecção A detecção de Defacement requer cobertura tanto de ativos web externos quanto de sistemas internos, com foco em monitoramento de integridade de conteúdo e anomalias de acesso a sistemas de arquivo críticos. ### Regra Sigma - Modificação de Arquivos Web Públicos ```yaml title: Modificação de Arquivos Raiz de Web Server status: experimental logsource: category: file_event product: linux detection: selection: TargetFilename|startswith: - '/var/www/html/' - '/srv/www/' - '/usr/share/nginx/html/' - '/opt/app/public/' TargetFilename|endswith: - '.html' - '.php' - '.js' - '.css' - 'index.htm' filter_legit: User|contains: - 'www-data' - 'nginx' - 'apache' condition: selection and not filter_legit level: high tags: - attack.impact - attack.t1491 - attack.t1491.002 falsepositives: - Deployments legítimos via CI/CD pipelines - Administradores web realizando manutenção autorizada ``` ### Regra Sigma - Modificação de Wallpaper via PowerShell (Windows) ```yaml title: PowerShell Modificando Configurações de Wallpaper Corporativo status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: '\powershell.exe' CommandLine|contains: - 'SystemParametersInfo' - 'WallPaper' - 'HKCU\Control Panel\Desktop' - 'Set-ItemProperty.*Desktop.*Wallpaper' condition: selection level: medium tags: - attack.impact - attack.t1491 - attack.t1491.001 falsepositives: - Scripts de gestão de desktops corporativos (SCCM, InTune, Endpoint Manager) - Administradores configurando wallpapers padronizados ``` ### Regra Sigma - Webshell Ativa Precedendo Defacement ```yaml title: Acesso a Webshell Precedido por Modificação de Conteúdo Web status: experimental logsource: category: webserver detection: selection_webshell: cs-uri-query|contains: - 'cmd=' - 'exec=' - 'system(' - 'passthru(' selection_post: sc-status: 200 cs-method: 'POST' condition: selection_webshell and selection_post level: high tags: - attack.impact - attack.t1491 - attack.t1505.003 falsepositives: - Aplicações legítimas com parâmetros similares em URL (raro) ``` ### Fontes de Dados Prioritárias | Fonte | Eventos Relevantes | Prioridade | |-------|-------------------|------------| | Web Application Firewall (WAF) | Uploads de arquivo suspeitos, modificações de conteúdo | Crítica | | File Integrity Monitoring (FIM) | Modificações em arquivos HTML/PHP raiz do web server | Crítica | | Web Server Access Logs | Acesso a caminhos de admin/upload fora do horário, IPs anômalos | Alta | | Sysmon - EventID 11 | FileCreaté em diretórios web ou de configuração de sistema | Alta | | SIEM - correlação | Sequência: autenticação falha → sucesso → modificação de arquivo | Alta | | EDR | Processos web server escrevendo arquivos fora de caminhos esperados | Alta | | External Website Monitor | Mudança de hash de páginas monitoradas (ferramentas de monitoramento externo) | Média | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1053-data-backup\|M1053]] | Data Backup | Manter backups regulares e verificados de conteúdo web e configurações de sistema. Para sites públicos, snapshots frequentes permitem restauração rápida. Para sistemas internos, backups de imagens de VMs e configurações de GPO reduzem o impacto de desfigurações internas. | | M1050 | Exploit Protection | Aplicar patches de segurança em CMS (WordPress, Drupal, Joomla) e frameworks web. A maioria dos defacements externos explora vulnerabilidades conhecidas em CMS desatualizados ou plugins inseguros. | | M1030 | Network Segmentation | Isolar servidores web em DMZ com acesso de gerenciamento via jump servers autenticados. Restringir acesso SSH/SFTP/FTP aos servidores de produção a IPs de administração específicos. | | M1026 | Privileged Account Management | Restringir o número de contas com acesso de escrita a sistemas web e portais internos. Implementar MFA para acesso administrativo a CMS e plataformas de intranet. Revisar regularmente permissões de contas de serviço. | | M1022 | Restrict File and Directory Permissions | Configurar permissões rigorosas em diretórios web: o processo do web server deve ter permissão de leitura mas não de escrita em arquivos estáticos. Uploads de usuário devem ir para diretórios separados sem execução de código. | | M1018 | User Account Management | Implementar contas separadas para implantação de código e administração de conteúdo. Auditar regularmente acessos ao painel administrativo do CMS e revogação imediata de acessos de ex-funcionários. | ## Sub-técnicas - [[t1491-001-internal-defacement|T1491.001 - Internal Defacement]] - [[t1491-002-external-defacement|T1491.002 - External Defacement]] ## Contexto Brasil/LATAM O Brasil figura consistentemente entre os países com maior volume de incidentes de Defacement na América Latina, com características regionais que merecem aténção específica: **Volume e perfil de hacktivismo brasileiro:** O CERT.br registra centenas a milhares de notificações de defacement por ano, com picos durante períodos eleitorais e de crise política. A maior parte é conduzida por grupos oportunistas com baixa sofisticação técnica, explorando vulnerabilidades em CMS desatualizados de prefeituras, câmaras municipais e pequenas autarquias que carecem de capacidade de manutenção de segurança web. No entanto, a proliferação de ferramentas automatizadas de scanning e exploração de CMS torna esses ataques acessíveis mesmo a atores com pouca habilidade técnica. **Infraestrutura governamental como alvo prioritário:** Sites de governos estaduais, municipais e autarquias federais são alvos frequentes. A heterogeneidade tecnológica (mix de WordPress, Joomla, Drupal, sistemas legados customizados) e a terceirização de desenvolvimento e manutenção sem rigor de segurança criam superfície de ataque ampla. Tribunais de Justiça, Prefeituras e Câmaras Municipais figuram com destaque nos relatórios anuais do CERT.br. **Defacement como componente de campanhas ransomware:** A ascensão de grupos ransomware-as-a-service (RaaS) com afiliados operando no Brasil - notadamente [[lockbit|LockBit]], [[blackcat|BlackCat]] e [[s1139-inc-ransomware|INC Ransomware]] - trouxe sofisticação ao Defacement interno. Diferentemente do hacktivismo tradicional, esses grupos combinam desfiguração interna com exfiltração de dados e criptografia, tornando o incidente muito mais custoso e complexo de responder. **Operações de influência em períodos eleitorais:** Com eleições municipais em 2024 e o contexto político polarizado, aumenta o risco de operações de influência que utilizam Defacement como vetor de desinformação - alterando conteúdo em sites de candidatos, partidos ou veículos de comunicação para disseminar informações falsas antes da detecção e resposta pelos responsáveis. O TSE e a Polícia Federal monitoram ativamente este vetor, mas a velocidade de disseminação em redes sociais frequentemente supera a capacidade de contenção. **Ausência de monitoramento de integridade web:** A maioria dos sites de entidades públicas brasileiras não possui monitoramento automatizado de integridade de conteúdo (File Integrity Monitoring para web), tornando a detecção de defacement dependente de denúncias de cidadãos ou jornalistas - o que pode atrasar a identificação por horas ou dias, amplificando o impacto. **LATAM - Nexo com grupos de influência estrangeiros:** Incidentes recentes na América Latina evidênciam atuação de grupos associados a estados estrangeiros (especialmente Rússia e China) em campanhas de Defacement e desinformação contra países da região. O contexto geopolítico - presença crescente de empresas chinesas em infraestrutura crítica, tensões diplomáticas regionais, e narrativas sobre soberania digital - cria motivação para campanhas de influência que incluem Defacement como componente. ## Referências - [MITRE ATT&CK - T1491 Defacement](https://attack.mitre.org/techniques/T1491) - [MITRE ATT&CK - T1491.001 Internal Defacement](https://attack.mitre.org/techniques/T1491/001) - [MITRE ATT&CK - T1491.002 External Defacement](https://attack.mitre.org/techniques/T1491/002) - [CERT.br - Estatísticas de Incidentes de Segurança](https://www.cert.br/stats/) - [Microsoft MSTIC - Sandworm / IRIDIUM Destructive Attacks Ukraine](https://blogs.microsoft.com/on-the-issues/2022/01/15/mstic-malware-cyberthreats-ukraine-government/) - [CISA Advisory - Killnet DDoS and Defacement Campaigns](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-110a) - [Mandiant - UNC3524/Sandworm Attribution](https://www.mandiant.com/resources/blog/unc3524-eye-spy-email) - [ENISA - Threat Landscape for DoS Attacks](https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-dos-attacks) - [Zone-H - Defacement Archive (referência histórica)](https://www.zone-h.org/) **Notas relacionadas:** [[t1491-001-internal-defacement|T1491.001 - Internal Defacement]] · [[t1491-002-external-defacement|T1491.002 - External Defacement]] · [[t1485-data-destruction|T1485 - Data Destruction]] · [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] · [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[m1053-data-backup|M1053 - Data Backup]] · [[g0032-lazarus-group|Lazarus Group]] · [[g0034-sandworm|Sandworm]] · [[blackcat|BlackCat]] · [[lockbit|LockBit]] --- *Fonte: [MITRE ATT&CK - T1491](https://attack.mitre.org/techniques/T1491)*