det0233-detection-strategy-for-network-device-configuration-dump-via-config-repo

# DET0233 — Detection Strategy for Network Device Configuration Dump via Config Repositories ## Descrição Esta estratégia detecta a coleta não autorizada de configurações de dispositivos de rede (roteadores, switches, firewalls) a partir de repositórios de gestão de configuração como RANCID, Oxidized, NetBox ou scripts de backup TFTP/SCP. Essas configurações contêm senhas de enable, chaves pré-compartilhadas, topologia de rede interna e outras informações sensíveis. Adversários com acesso a servidores de gestão de rede frequentemente extraem configurações para mapear a infraestrutura antes de movimentação lateral ou para obter credenciais de dispositivos. O download de arquivos de configuração em massa fora das janelas de backup programadas, ou por contas não autorizadas, é o principal indicador. A telemetria necessária inclui auditoria de acesso ao repositório de configuração (logs de acesso de arquivos, git logs se usar Oxidized/RANCID em git), alertas de TFTP/SCP para transferências iniciadas de IPs não pertencentes aos dispositivos de rede, e monitoramento de acesso à API de sistemas como NetBox. ## Indicadores de Detecção - Download em massa de arquivos de configuração (`*.cfg`, `*.conf`) fora de janela de backup programada - Acesso ao repositório RANCID/Oxidized por usuário não pertencente à equipe de NOC/NetOps - Conexão TFTP de IP de workstation de usuário para dispositivos de rede (bypass de servidor de gestão) - Consultas à API NetBox para todos os dispositivos de uma região em curto período - Acesso via `git clone` ou `git pull` ao repositório de configurações por conta de serviço comprometida - SCP/SFTP de arquivos de configuração para destino externo à rede de gestão ## Técnicas Relacionadas - [[t1602-data-from-configuration-repository|T1602 — Data from Configuration Repository]] - [[T1602.002-network-device-configuration-dump|T1602.002 — Network Device Configuration Dump]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] ## Analytics Relacionadas - [[an0647-analytic-0647|AN0647 — Analytic 0647]] --- *Fonte: [MITRE ATT&CK — DET0233](https://attack.mitre.org/detectionstrategies/DET0233)*