# AN0225 — Analytic 0225 ## Descrição Detecta exploração de serviços admin públicos em roteadores, firewalls e switches por adversários, com cadeia: inputs HTTP/SNMP/SmartInstall anômalos, erros ou reinicializações em syslog do dispositivo, mudanças de configuração ou spawn de CLI, e saída de tráfego para C2 do atacante. A telemetria inclui Syslog de dispositivo de rede para erros de serviço e reinicializações, NetFlow para tráfego de saída incomum originádo do dispositivo de rede e monitoramento de mudanças de configuração via SNMP/RANCID/Oxidized comparando configurações ao baseline. Essa analítica é crítica para detectar comprometimento de dispositivos de rede, que permitem interseção de todo o tráfego da organização, criação de backdoors persistentes no plano de dados e movimentação lateral para todos os segmentos de rede — como demonstrado em ataques de grupos como Volt Typhoon e APT40 que comprometem roteadores para criar infraestrutura de C2 residente em redes alvo. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0225](https://attack.mitre.org/detectionstrategies/DET0080#AN0225)*