# AN1570 — Analytic 1570 ## Descrição Este analítico detecta tentativas de downgrade de imagem de sistema operacional em dispositivos de rede, monitorando transferências anômalas de arquivos de imagem OS via TFTP, FTP ou SCP, alterações em variáveis de boot para arquivos de imagem mais antigas, strings de versão de OS inesperadas após reboot e discrepâncias de checksum em relação a imagens baseline aprovadas. A telemetria combina logs de servidor TFTP/SCP, syslog do dispositivo, e verificação de integridade de firmware via hashing comparado contra baseline autorizada armazenada em repositório confiável. A relevância é crítica para infraestrutura de rede de alto valor pois adversários como grupos APT chineses e russos têm documentado histórico de downgrade de firmware para versões vulneráveis a fim de instalar implantes persistentes, como demonstrado em campanhas contra roteadores SOHO e dispositivos de borda. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1542-004-rombios-bootkit|T1542.004 — ROMMONkit]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1601-modify-system-image|T1601 — Modify System Image]] --- *Fonte: [MITRE ATT&CK — AN1570](https://attack.mitre.org/detectionstrategies/DET0569#AN1570)*