# AN0661 — Analytic 0661 ## Descrição Detecta modificação de scripts de configuração de boot que persistem comandos CLI maliciosos em dispositivos de rede após reinicializações. A telemetria inclui syslog de dispositivos de rede, logs de configuração TACACS+/RADIUS e comparações de hash de configuração que identificam alterações não autorizadas nos scripts de inicialização de roteadores e switches. Essa analítica é fundamental pois a persistência em dispositivos de rede é extremamente difícil de detectar e remover, permitindo ao adversário manter acesso invisível à infraestrutura de roteamento e interceptar tráfego de rede crítico. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0661](https://attack.mitre.org/detectionstrategies/DET0237#AN0661)*