# AN0208 — Analytic 0208 ## Descrição Detecta configuração de regras NAT internas ou proxy que redirecionam tráfego entre segmentos de cliente internamente (ex.: encaminhamento de porta site-a-site), frequentemente usado para retransmitir beaconing interno ou mover tráfego lateralmente através de zonas de confiança. A telemetria inclui logs de configuração de dispositivo de rede registrando alterações em regras de NAT ou ACL, Syslog do dispositivo para modificações de configuração por usuários ou sessões não autorizados e análise de NetFlow para identificar fluxos de tráfego incomuns entre segmentos de rede que normalmente não se comúnicam. Essa analítica detecta abuso de funcionalidades legítimas de roteamento em dispositivos de rede para criar canais de comunicação ocultos entre zonas de segurança, técnica utilizada por grupos APT que comprometem dispositivos de borda para estabelecer persistência na infraestrutura de rede. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1090-proxy|T1090 — Proxy]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0208](https://attack.mitre.org/detectionstrategies/DET0075#AN0208)*