# AN0936 — Analytic 0936 ## Descrição Este analytic detecta a execução dos comandos `erase`, `format` e `reload` em sequência imediata a partir de uma sessão privilegiada AAA em dispositivos de rede. A telemetria inclui logs de sessão TACACS+/RADIUS, syslog dos dispositivos e alertas de gerenciamento de rede NMS correlacionando a sequência de comandos destrutivos no mesmo contexto de autenticação. Em dispositivos de rede, essa sequência de três comandos é um indicador de altíssima fidelidade para ataque de destruição de infraestrutura, frequentemente o passo final de um comprometimento antes de uma interrupção de serviço intencional ou cobertura de rastros por um adversário. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-network-device-cli|T1059.008 — Network Device CLI]] --- *Fonte: [MITRE ATT&CK — AN0936](https://attack.mitre.org/detectionstrategies/DET0329#AN0936)*