# AN1219 — Analytic 1219 ## Descrição Detecta tentativas de relocação de firmware ou scripts (por exemplo, via CLI com comandos copy, move ou rename) entre partições temporárias e pastas de configuração de startup em roteadores ou switches. A telemetria inclui histórico de comandos CLI e logs de AAA em dispositivos de rede que registram operações de cópia de arquivos em partições do sistema. Essa análise é crítica para detectar persistência em equipamentos de infraestrutura de rede, onde implantes de firmware são difíceis de remover. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1601-modify-system-image|T1601 — Modify System Image]] --- *Fonte: [MITRE ATT&CK — AN1219](https://attack.mitre.org/detectionstrategies/DET0439#AN1219)*