# AN0387 — Analytic 0387 ## Descrição Detecta execução de comandos CLI destrutivos como `erase startup-config`, `erase flash:` ou `format disk` em roteadores e switches, com foco na escalação de nível de privilégio que precede os comandos destrutivos. A telemetria inclui logs de dispositivos de rede via TACACS+/RADIUS e syslog, alertas de comparação de configuração e correlação de eventos de escalação de privilégio com comandos de alto impacto. Essa analítica é importante para infraestrutura de rede crítica, pois a execução de comandos de apagamento em dispositivos de rede pode paralisar operações de toda uma organização e é uma etapa final típica em ataques de sabotagem por grupos como Sandworm e APTs com motivação de destruição. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0387](https://attack.mitre.org/detectionstrategies/DET0137#AN0387)*