# AN0169 — Analytic 0169 ## Descrição Detecta em dispositivos de rede logs que mostram transferências de arquivos inbound anômalas ou fluxos com volume de payload elevado para dispositivos com armazenamento ou ganchos de automação, padrão associado ao staging de firmware malicioso ou implantes em roteadores e switches. A telemetria utilizada inclui NetFlow/IPFIX para identificar transferências de alto volume incomuns, Syslog do dispositivo registrando acesso a sistemas de arquivos ou uploads via TFTP/SCP/HTTP e correlação com alterações de configuração subsequentes. Essa detecção é crítica porque implantes em dispositivos de rede permitem interceptação persistente de tráfego, criação de backdoors e pivotamento lateral difíceis de detectar com ferramentas convencionais de endpoint. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0169](https://attack.mitre.org/detectionstrategies/DET0060#AN0169)*