# AN1194 — Analytic 1194 ## Descrição Detecta CLI ou utilitários automatizados acessando volumes de dispositivos brutos ou armazenamento flash diretamente (por exemplo, via comandos `copy flash:`, `format` ou `partition`) em dispositivos de rede. A telemetria inclui logs de sessões CLI (TACACS+/RADIUS), syslogs de dispositivos e monitoramento de comandos de administração para identificar operações diretas de armazenamento não previstas em baselines de manutenção. Esse analítico é crítico para detectar implantes em dispositivos de rede que gravam diretamente em memória flash para persistência e para detectar ataques de destruição de infraestrutura que apagam firmware e configurações de roteadores e switches críticos. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1194](https://attack.mitre.org/detectionstrategies/DET0426#AN1194)*