# AN0276 — Analytic 0276 ## Descrição Esta analítica detecta uploads não autorizados de firmware para roteadores, switches ou firewalls via TFTP/FTP/SCP, bem como logs que mostram alterações na variável de boot ou no caminho da imagem de inicialização redirecionando para imagens de firmware não padrão, seguidas de reinicializações anormais. A telemetria inclui logs de transferência de arquivos de gerenciamento de rede, eventos de modificação de configuração de boot e alertas de syslog de dispositivos de rede. Esta detecção é fundamental pois o implante de firmware em dispositivos de rede é técnica utilizada por atores como APT41 e grupos state-sponsored para espionagem persistente em infraestrutura crítica de telecomúnicações. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1601-001-patch-system-image|T1601.001 — Patch System Image]] - [[t1602-data-from-configuration-repository|T1602 — Data from Configuration Repository]] --- *Fonte: [MITRE ATT&CK — AN0276](https://attack.mitre.org/detectionstrategies/DET0099#AN0276)*