# AN0885 — Analytic 0885 ## Descrição Este analytic detecta a execução de comandos CLI que apagam sistemas de arquivos ou armazenamento em dispositivos de rede, como `erase flash:`, `format disk` e `erase nvram:`. A telemetria relevante consiste em logs de autenticação AAA e eventos de sessão privilegiada nos quais comandos destrutivos são executados imediatamente após o login. Identificar essa cadeia de eventos é crítico para prevenir a destruição de configurações e firmware em roteadores e switches, técnica utilizada por adversários para negar acesso ou eliminar rastros de uma intrusão em infraestrutura de rede. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0885](https://attack.mitre.org/detectionstrategies/DET0316#AN0885)*