det0170-detection-strategy-for-modify-system-image-on-network-devices

# DET0170 — Detection Strategy for Modify System Image on Network Devices ## Descrição Esta estratégia detecta modificação da imagem de sistema operacional em dispositivos de rede (roteadores, switches, firewalls) — mapeado em [[t1601-modify-system-image|T1601 - Modify System Image]]. Adversários com acesso privilegiado a dispositivos Cisco IOS, Juniper JunOS ou similares podem substituir a imagem de boot por uma versão trojanizada que contém backdoors persistentes, sobrevivendo a reinicializações e atualizações parciais. Os indicadores incluem comandos de gerenciamento de imagem executados fora de janelas de manutenção (`copy tftp flash:`, `request system software add`, transferências TFTP/SCP para o dispositivo), checksum da imagem ativa divergindo do esperado, e verificações de integridade via `show version` ou `verify /md5` retornando hashes não catalogados pelo fabricante. Logs de syslog do dispositivo, AAA (TACACS+/RADIUS) e monitoramento de transferências de arquivo são fontes essenciais. A integração com CMDB para manter baseline de versões de firmware/IOS por dispositivo permite detecção automatizada de desvios. Alertas quando a versão reportada por `show version` não consta no inventário aprovado são de alta fidelidade e baixo ruído. ## Indicadores de Detecção - Comandos `copy tftp:` ou `copy scp:` para destino `flash:` fora de janela de manutenção - Hash MD5/SHA256 da imagem ativa divergindo do baseline no CMDB - Transferência de arquivo > 5MB via TFTP/SCP para endereço IP de dispositivo de rede - `show version` exibindo versão de IOS/JunOS não aprovada no inventário - Alteração de variável de boot (`boot system`) sem ticket de mudança correlacionado ## Técnicas Relacionadas - [[t1601-modify-system-image|T1601 - Modify System Image]] — técnica principal detectada - [[t1601-001-patch-system-image|T1601.001 - Patch System Image]] — sub-técnica de patch malicioso - [[t1542-002-component-firmware|T1542.002 - Component Firmware]] — técnica relacionada em outros dispositivos - [[t1078-valid-accounts]] — acesso privilegiado necessário para modificação ## Analytics Relacionadas - [[an0482-analytic-0482|AN0482 — Analytic 0482]] --- *Fonte: [MITRE ATT&CK — DET0170](https://attack.mitre.org/detectionstrategies/DET0170)*