det0569-detection-strategy-for-downgrade-system-image-on-network-devices

# DET0569 — Detection Strategy for Downgrade System Image on Network Devices ## Descrição O downgrade de imagem de sistema em dispositivos de rede ([[T1601.002 - Modify System Image Downgrade System Image|T1601.002]]) é uma técnica avançada utilizada por atores de ameaça nacionais para substituir o firmware de roteadores e switches por versões vulneráveis ou modificadas que permitem persistência de longo prazo. Uma versão mais antiga do IOS, NX-OS ou JunOS pode conter vulnerabilidades conhecidas que o adversário sabe explorar, ou pode ser uma imagem trojanizada que bypassa verificações de integridade. Grupos como [[g1017-volt-typhoon]] e APTs ligados a estados-nação têm demonstrado capacidade nessa técnica em infraestruturas críticas. O processo típico envolve: comprometimento inicial via credencial válida ou exploit de interface de gerenciamento, upload da imagem maliciosa via TFTP/SCP, e reboot do dispositivo para aplicar o firmware. A imagem comprometida pode incluir backdoors em serviços de gerenciamento (SSH, SNMP, NETCONF) ou modificações no plano de encaminhamento para interceptação silenciosa de tráfego. A detecção requer estabelecimento de baseline de versão de firmware para todos os dispositivos de rede, com alertas para qualquer mudança não agendada. A verificação de hash criptográfico da imagem ativa (via `verify /sha512`) deve ser executada periodicamente e comparada com hashes públicados pelo fabricante. Logs de TFTP e SCP no dispositivo e no servidor de gerenciamento são fontes primárias de detecção. ## Indicadores de Detecção - Mudança de versão de firmware em dispositivo de rede fora de janela de manutenção aprovada - Transferência TFTP de arquivo `.bin` ou `.image` para dispositivo de rede - Hash da imagem ativa divergindo do baseline documentado para o modelo/versão - Reboot não agendado de roteador ou switch de borda - Acesso à interface de gerenciamento (SSH, console) seguido de operação de escrita de flash - Alerta de integridade de image via `show version` com hash diferente do registrado ## Técnicas Relacionadas - [[T1601.002-modify-system-image-downgrade|T1601.002 — Downgrade System Image]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] ## Analytics Relacionadas - [[an1570-analytic-1570|AN1570 — Analytic 1570]] --- *Fonte: [MITRE ATT&CK — DET0569](https://attack.mitre.org/detectionstrategies/DET0569)*