det0494-detection-strategy-for-weaken-encryption-disable-crypto-hardware-on-netw

# DET0494 — Detection Strategy for Weaken Encryption: Disable Crypto Hardware on Network Devices ## Descrição A desabilitação de hardware criptográfico em dispositivos de rede é uma técnica de impacto avançada usada principalmente por atores de espionagem nação-estado para enfraquecer a segurança de comúnicações em infraestruturas críticas. Adversários com acesso a dispositivos de rede (roteadores, switches, firewalls) podem modificar configurações para desabilitar módulos de aceleração criptográfica, forçar o uso de algoritmos mais fracos ou desabilitar funcionalidades de criptografia de hardware em chips TPM/HSM integrados. Essa técnica é mapeada como [[T1600.002-weaken-encryption-disable-crypto-hardware|T1600.002]] no MITRE ATT&CK. O objetivo principal dessa técnica é facilitar a interceptação ou descriptografia de tráfego que seria protegido por criptografia forte. Uma vez enfraquecida a criptografia em dispositivos de borda de rede, adversários podem capturar e descriptografar comúnicações que normalmente estariam protegidas. Grupos de espionagem patrocinados por estados, especialmente aqueles com capacidade de acesso a dispositivos de rede de infraestrutura crítica, são os principais atores associados a essa técnica. A detecção requer monitoramento de alterações de configuração em dispositivos de rede (logs de syslog, SNMP traps e sistemas de gestão de rede) com aténção especial a comandos que desabilitem funcionalidades criptográficas. A comparação de configurações atuais com baselines aprovados (configuration management) é o método mais eficaz para identificar modificações maliciosas. ## Indicadores de Detecção - Modificação de configuração de dispositivo de rede desabilitando suporte a protocolos criptográficos seguros (TLS 1.3, IPsec) - Alteração de configuração de cipher suites para incluir algoritmos deprecated (DES, RC4, MD5) - Desabilitação de módulo de hardware de aceleração criptográfica em roteador ou firewall via CLI/API - Configuração de dispositivo de rede modificada fora de janela de manutenção aprovada - Acesso não autorizado à interface de gestão de dispositivo de rede (SSH, SNMP, REST API) - Comparação de hash de configuração atual com baseline detectando mudança em parâmetros de criptografia - Logs de syslog mostrando comandos de configuração de cifras ou algoritmos por usuário não autorizado ## Técnicas Relacionadas - [[T1600.002-weaken-encryption-disable-crypto-hardware|T1600.002 — Disable Crypto Hardware]] - [[t1600-weaken-encryption|T1600 — Weaken Encryption]] - [[T1565.002-data-manipulation-transmitted-data-manipulation|T1565.002 — Transmitted Data Manipulation]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] ## Analytics Relacionadas - [[an1360-analytic-1360|AN1360 — Analytic 1360]] --- *Fonte: [MITRE ATT&CK — DET0494](https://attack.mitre.org/detectionstrategies/DET0494)*