# AN0296 — Analytic 0296 ## Descrição Esta analítica detecta quebra offline inferida por autenticações CLI ou web bem-sucedidas subsequentes em roteadores ou switches a partir de contas anteriormente extraídas. A telemetria inclui logs de autenticação de dispositivos de rede (syslog AAA) correlacionados com eventos históricos de extração de credenciais de configuração. A detecção é relevante pois o acesso bem-sucedido a dispositivos de rede com credenciais previamente extraídas indica comprometimento completo do plano de gerenciamento, o que pode permitir ao adversário redirecionar tráfego ou instalar backdoors no firmware. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1110-002-password-cracking|T1110.002 — Password Cracking]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1602-data-from-configuration-repository|T1602 — Data from Configuration Repository]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0296](https://attack.mitre.org/detectionstrategies/DET0105#AN0296)*