# AN0427 — Analytic 0427 ## Descrição Detecta uso de protocolos não encriptados (TFTP, FTP, HTTP) para transferir arquivos de configuração, tabelas de roteamento ou logs de dispositivos de rede para endereços IP não confiáveis, especialmente via comandos administrativos como `copy run ftp:`. A telemetria necessária inclui logs de contabilização AAA/TACACS+, syslog de dispositivos de rede e captura de tráfego NetFlow para identificar transferências de configuração para destinos externos não autorizados. Essa detecção é crítica para detectar exfiltração de configurações de rede que permitem ao adversário mapear toda a topologia da rede corporativa e planejar ataques subsequentes. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1048-003-exfiltration-over-alternative-protocol-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 — Exfiltration Over Unencrypted Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] --- *Fonte: [MITRE ATT&CK — AN0427](https://attack.mitre.org/detectionstrategies/DET0149#AN0427)*