# AN1603 — Analytic 1603 ## Descrição Esta analítica detecta modificações não autorizadas em configurações de boot de dispositivos de rede que apontam para servidores TFTP, carregamentos incomuns de firmware durante netboot ou tráfego TFTP suspeito indicativo de persistência via imagens de boot maliciosas. A telemetria utilizada inclui logs de histórico de comandos do dispositivo, hashes de imagens do sistema e correlação de alterações nas configurações de boot via NETCONF, RESTCONF ou SNMP. Esta detecção é essencial porque adversários que conseguem modificar imagens de firmware em dispositivos de rede podem manter acesso persistente e invisível à infraestrutura crítica. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1133-external-remote-services|T1133 — External Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1603](https://attack.mitre.org/detectionstrategies/DET0582#AN1603)*