# AN1024 — Analytic 1024 ## Descrição Este analítico detecta tráfego criptografado ou tunelamento ICMP originado de roteadores de borda para roteadores internos ou IPs externos desconhecidos, onde o tráfego encaminhado mostra retransmissão hop-a-hop consistente sem correspondência com VPN configurada ou topologia de rede esperada. A telemetria utilizada inclui NetFlow/IPFIX para análise de fluxos de tráfego, logs SNMP para tráfego em interfaces inesperadas e logs de syslog de dispositivos de rede para identificar roteamento anômalo. Esta detecção é essencial para identificar o comprometimento de dispositivos de rede por APTs como Volt Typhoon e APT40 — que frequentemente implantam implantes em roteadores e switches para criar redes de proxy furtivas dentro de infraestrutura crítica nacional. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1599-network-boundary-bridging|T1599 — Network Boundary Bridging]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1024](https://attack.mitre.org/detectionstrategies/DET0359#AN1024)*