# AN0497 — Analytic 0497 ## Descrição Este analítico detecta mudanças anômalas ou upgrades na imagem ROMMON de roteadores e switches Cisco, reboots inesperados após atualizações de firmware e uso não autorizado de comandos de upgrade ou transferências TFTP. A telemetria inclui logs de CLI de dispositivos de rede, registros de boot, eventos de TFTP e correlação entre modificações de configuração, escalonamento de privilégio e anomalias no ciclo de boot. Modificações no ROMMON são altamente persistentes e difíceis de detectar, tornando esse analítico fundamental para monitoramento de integridade de firmware em infraestruturas de roteamento críticas. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] --- *Fonte: [MITRE ATT&CK — AN0497](https://attack.mitre.org/detectionstrategies/DET0175#AN0497)*