# AN1293 — Analytic 1293 ## Descrição Detecta tentativas de adversários de corrigir imagens de sistema em dispositivos de rede monitorando transferências anômalas de arquivos (TFTP, SCP, FTP) de arquivos de imagem, comandos CLI não autorizados que alteram variáveis de boot, incompatibilidades de verificação de integridade entre imagens em execução e de baseline, e tentativas de manipulação de memória em runtime. A telemetria inclui syslogs de dispositivos de rede, alertas de SIEM sobre transferências de imagem e verificações de hash de firmware. Esta detecção é crítica pois a modificação de imagens de sistema em dispositivos de rede permite persistência avançada que sobrevive a reinicializações e pode ser extremamente difícil de detectar e remediar sem reimage completo do dispositivo. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1601-001-patch-system-image|T1601.001 — Patch System Image]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN1293](https://attack.mitre.org/detectionstrategies/DET0469#AN1293)*