# DET0142 — Behavioral Detection of CLI Abuse on Network Devices ## Descrição Esta estratégia detecta abuso da interface de linha de comando em dispositivos de rede (roteadores, switches, firewalls) para execução de comandos maliciosos, exfiltração de configurações ou instalação de implantes (T1059.008). Grupos APT como Volt Typhoon, APT41 e Salt Typhoon documentaram extensivamente o uso de CLIs de dispositivos de rede (IOS, NX-OS, JunOS) para persistência e movimentação lateral em infraestrutura crítica. Os comportamentos anômalos incluem: execução de comandos incomuns em sessão de gerenciamento (como `copy running-config tftp://`, `debug ip packet`, ou `tcpdump` em appliances), acesso CLI em horários fora da janela de manutenção, autenticação de IP não-gerenciado, e sequências de comandos características de ferramentas de reconhecimento (enumeração de rotas, interfaces, vizinhos BGP/OSPF). A telemetria requer syslog dos dispositivos de rede (AAA accounting logs — RADIUS/TACACS+), logs de sessão CLI, e monitoramento de NetFlow para sessões SSH/Telnet para IPs de gerenciamento fora dos jump hosts autorizados. A integração dos logs de dispositivos de rede com o SIEM e correlação com a baseline de comportamento do administrador é essencial. ## Indicadores de Detecção - Comandos `copy running-config` para destino TFTP/FTP externo por sessão não-autorizada - Autenticação CLI em dispositivo de rede a partir de IP fora do range de jump hosts aprovados - Execução de `debug` ou `monitor traffic` em horário fora de janela de manutenção - Sequência de enumeração (show ip route, show arp, show cdp neighbors) em <60s por sessão - Modificação de ACL ou routing policy sem ticket de mudança correspondente em CMDB ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] - [[t1505-server-software-component|T1505 — Server Software Component]] ## Analytics Relacionadas - [[an0399-analytic-0399|AN0399 — Analytic 0399]] --- *Fonte: [MITRE ATT&CK — DET0142](https://attack.mitre.org/detectionstrategies/DET0142)*