det0175-detection-strategy-for-t1542004-pre-os-boot-rommonkit

# DET0175 — Detection Strategy for T1542.004 Pre-OS Boot: ROMMONkit ## Descrição Esta estratégia detecta modificação do ROMMON (ROM Monitor) em dispositivos Cisco IOS para implantar backdoors persistentes antes do carregamento do sistema operacional — mapeado em [[t1542-004-rommonkit|T1542.004 - ROMMONkit]]. O ROMMON é o firmware de bootstrap dos dispositivos Cisco; adversários com acesso privilegiado podem substituí-lo por uma versão modificada que persiste mesmo após formatação completa do flash e reinstalação do IOS. Os indicadores incluem comandos de upgrade do ROMMON (`upgrade rom-monitor`, `dir rommon:`) executados fora de janelas de manutenção, transferências TFTP/SCP de arquivos de firmware ROMMON para o dispositivo, e mudanças no hash verificado por `show rom-monitor` divergindo do catálogo Cisco oficial. A telemetria é limitada pela natureza do dispositivo; logs TACACS+/RADIUS de autenticação administrativa e syslog de comandos executados são as principais fontes. A prevenção e detecção proativa via Cisco Network Trust Anchor (TAm) e verificação criptográfica de imagem ROMMON são mais eficazes que detecção post-hoc. Qualquer modificação de ROMMON deve ser tratada como incidente crítico, dado o nível de persistência e dificuldade de remediação. ## Indicadores de Detecção - Comando `upgrade rom-monitor` executado em dispositivo Cisco sem ticket de mudança aprovado - Transferência TFTP/SCP de arquivo `.bin` com tamanho compatível com imagem ROMMON - Hash de ROMMON reportado por `show rom-monitor` não constando no catálogo Cisco - Acesso privilegiado (enable mode) de IP fora da rede de gerenciamento - Dispositivo reiniciando inesperadamente após sessão administrativa não autorizada ## Técnicas Relacionadas - [[t1542-004-rommonkit|T1542.004 - ROMMONkit]] — técnica principal detectada - [[t1542-pre-os-boot|T1542 - Pre-OS Boot]] — categoria pai - [[t1601-modify-system-image|T1601 - Modify System Image]] — técnica relacionada em IOS - [[t1078-valid-accounts]] — comprometimento de credenciais de rede necessário ## Analytics Relacionadas - [[an0497-analytic-0497|AN0497 — Analytic 0497]] --- *Fonte: [MITRE ATT&CK — DET0175](https://attack.mitre.org/detectionstrategies/DET0175)*