det0272-detect-modification-of-network-device-authentication-via-patched-system-

# DET0272 — Detect Modification of Network Device Authentication via Patched System Images ## Descrição Esta estratégia detecta a modificação do processo de autenticação em dispositivos de rede (roteadores, switches, firewalls) via implantação de firmware ou imagens de sistema alteradas. Adversários com acesso administrativo a dispositivos de rede implantam backdoors no firmware para manter acesso persistente mesmo após reset de credenciais — técnica usada por grupos como Volt Typhoon e outros atores estado-nação. A técnica envolve substituição ou modificação da imagem de boot do dispositivo para adicionar senha-mestra, bypassar verificações de autenticação, ou implantar funcionalidades de espionagem de tráfego. Dispositivos Cisco, Juniper, Fortinet e outros vendors já foram alvo desse tipo de ataque. A detecção requer verificação criptográfica de integridade do firmware contra hashes oficiais do vendor. A telemetria requer logging de operações de upgrade de firmware/imagem em dispositivos de rede, verificação periódica de hash de imagem instalada contra baseline do vendor, e alertas para transferências de arquivo via TFTP/SCP para os dispositivos. ## Indicadores de Detecção - Hash do firmware instalado no dispositivo divergindo do hash oficial públicado pelo vendor - Operação de upgrade de firmware fora de janela de manutenção aprovada ou por IP não autorizado - Transferência de arquivo via TFTP para dispositivo de rede de host não pertencente ao time de NetOps - Reinicialização de dispositivo não programada seguida de comportamento de autenticação anômalo - Autenticação bem-sucedida com credencial que deveria ter sido desabilitada - Dispositivo aceitando senha diferente da configurada após reinicialização (indicador de backdoor de autenticação) ## Técnicas Relacionadas - [[T1601.001-patch-system-image|T1601.001 — Patch System Image]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[T1542.005-tftp-boot|T1542.005 — TFTP Boot]] - [[t1200-hardware-additions|T1200 — Hardware Additions]] ## Analytics Relacionadas - [[an0758-analytic-0758|AN0758 — Analytic 0758]] --- *Fonte: [MITRE ATT&CK — DET0272](https://attack.mitre.org/detectionstrategies/DET0272)*