det0469-detection-strategy-for-patch-system-image-on-network-devices

# DET0469 — Detection Strategy for Patch System Image on Network Devices ## Descrição A técnica de "patch system image" em dispositivos de rede (T1601.001) envolve a modificação maliciosa do firmware ou sistema operacional de roteadores, switches e firewalls para inserir backdoors persistentes de nível de sistema. Adversários com acesso privilegiado a equipamentos de rede podem modificar a imagem do sistema (IOS, JunOS, FortiOS, etc.) para adicionar funcionalidades ocultas como coleta de credenciais, bypass de autenticação ou capacidade de acesso remoto não documentado. Grupos APT de estado-nação com capacidade de comprometer infraestrutura crítica — como APT28, APT40 e grupos ligados a operações de espionagem de longo prazo — utilizam essa técnica para estabelecer presença persistente em pontos estratégicos de rede. Uma imagem de sistema modificada sobrevive a reinicializações, atualizações de configuração e até a alguns processos de recuperação de dispositivo, tornando-se um dos vetores de persistência mais difíceis de detectar e remediar. A detecção requer verificação de integridade de imagens de firmware: comparar hashes de imagens em execução com hashes oficiais do fornecedor, monitorar transferências de imagem não autorizadas via TFTP/SCP/HTTP, e alertar sobre atualizações de firmware fora de janelas de manutenção aprovadas. ## Indicadores de Detecção - Hash da imagem de firmware em execução divergindo do hash oficial públicado pelo fabricante - Transferência de arquivo de imagem de sistema (`.bin`, `.img`, `.tar`) via TFTP ou SCP fora de janela de manutenção - Comando de atualização de firmware (`upgrade`, `install`, `boot system`) executado fora de processo de change management - Acesso privilegiado a equipamento de rede de IP externo ou não listado como hop de gerenciamento - Log de dispositivo indicando reload/reinicialização inesperada após acesso não programado - SNMP trap de mudança de configuração (`ciscoConfigManMIB`) não correlacionada com ticket de mudança ## Técnicas Relacionadas - [[T1601001-patch-system-image|T1601.001 — Patch System Image]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[T1542001-system-firmware|T1542.001 — System Firmware]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1602-data-from-configuration-repository|T1602 — Data from Configuration Repository]] ## Analytics Relacionadas - [[an1293-analytic-1293|AN1293 — Analytic 1293]] --- *Fonte: [MITRE ATT&CK — DET0469](https://attack.mitre.org/detectionstrategies/DET0469)*