det0339-detection-strategy-for-weaken-encryption-on-network-devices

# DET0339 — Detection Strategy for Weaken Encryption on Network Devices ## Descrição Esta estratégia detecta modificações de configuração em dispositivos de rede — roteadores, switches, firewalls, VPN concentrators — que enfraquecem ou desabilitam cifras de criptografia, permitindo interceptação de tráfego em texto claro. A técnica [[t1600-weaken-encryption|T1600-weaken-encryption]] inclui downgrade de protocolos (TLS 1.0, SSLv3, DES), desabilitação de Perfect Forward Secrecy e substituição de chaves de sessão. A detecção requer monitoramento de alterações de configuração em dispositivos de rede — via SNMP traps, Syslog, NETCONF/RESTCONF ou plataformas de gerenciamento como Cisco DNA Center, Juniper Mist. Comparação de configurações contra baseline aprovado (via ferramentas como Oxidized ou Rancid) é fundamental. Esta técnica é associada a APTs de nação-estado que comprometem dispositivos de borda de rede como Cisco IOS, Juniper JunOS e FortiOS para realizar MITM em tráfego crítico de corporações e governos. Incidentes como a campanha Volt Typhoon demonstram a relevância de monitorar integridade de configuração de dispositivos de rede. ## Indicadores de Detecção - Alteração de configuração de cifras TLS/SSH para incluir algoritmos fracos (DES, 3DES, RC4, MD5) - Desabilitação de TLS 1.3 ou 1.2 em favor de versões mais antigas via configuração de device - Remoção de Perfect Forward Secrecy (PFS) de cipher suites de VPN ou HTTPS - Modificação não autorizada de chaves de IKE/IPSec em VPN concentrators - Configuração de dispositivo de rede alterada fora de janela de manutenção aprovada - Downgrade de versão de SSH para SSHv1 ou habilitação de algoritmos de troca de chave fracos ## Técnicas Relacionadas - [[t1600-weaken-encryption|T1600-weaken-encryption]] — técnica primária - [[T1600.001-reduce-key-space]] — redução do espaço de chaves criptográficas - [[t1040-network-sniffing|T1040-network-sniffing]] — captura de tráfego facilitada pela criptografia enfraquecida - [[t1557-adversary-in-the-middle|T1557-adversary-in-the-middle]] — MITM habilitado por criptografia fraca - [[t1098-account-manipulation|T1098-account-manipulation]] — modificação de configuração com credenciais comprometidas ## Analytics Relacionadas - [[an0961-analytic-0961|AN0961 — Analytic 0961]] --- *Fonte: [MITRE ATT&CK — DET0339](https://attack.mitre.org/detectionstrategies/DET0339)*