# AN1159 — Analytic 1159 ## Descrição Detecta uso de utilitários de backup de configuração ou acesso CLI para extrair senhas em texto plano, hashes de usuários locais ou strings SNMP de dispositivos de rede. A telemetria inclui logs de sessões CLI (TACACS+/RADIUS), syslogs de dispositivos e monitoramento de comandos de configuração para identificar extração não autorizada de material de credenciais. Esse analítico é crítico porque credenciais de dispositivos de rede (senhas de enable, strings SNMP, chaves SSH) dão ao adversário controle sobre toda a infraestrutura de roteamento e switching da organização. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1159](https://attack.mitre.org/detectionstrategies/DET0412#AN1159)*