det0582-detection-strategy-for-t1542005-pre-os-boot-tftp-boot

# DET0582 — Detection Strategy for T1542.005 Pre-OS Boot: TFTP Boot ## Descrição O boot via TFTP ([[T1542.005 - Pre-OS Boot TFTP Boot|T1542.005]]) é uma técnica utilizada em dispositivos de rede que suportam boot remoto (PXE, TFTP) para carregar imagens de sistema operacional ou firmware maliciosas antes que o SO legítimo sejá inicializado. Em dispositivos Cisco, Juniper e similares, o processo de boot pode ser interrompido para entrar em modo ROMMON e configurar o boot de uma imagem alternativa via TFTP. Isso permite que adversários com acesso físico ou de gerenciamento carreguem implantes persistentes no nivel de firmware que sobrevivem à reinstalação do SO. O protocolo TFTP (UDP/69) é raramente utilizado em redes modernas fora de contextos de provisionamento de rede controlados. Tráfego TFTP não autorizado, especialmente com destino a dispositivos de borda (roteadores, switches de núcleo, firewalls), deve gerar alerta de alta prioridade. Em ambientes com infraestrutura crítica — como os de telecomúnicações e energia no Brasil — a proteção contra essa técnica é essencial dado o impacto potencial de comprometimento de equipamentos de borda. A detecção combina monitoramento de tráfego TFTP na rede com análise de integridade de firmware dos dispositivos. Sistemas de gerenciamento de rede (NMS) que verificam periodicamente as versões de firmware e hashes de imagem ativa em todos os dispositivos são a base da estratégia preventiva. Alertas para qualquer sessão TFTP fora dos servidores de provisionamento autorizados são mandatórios. ## Indicadores de Detecção - Tráfego TFTP (UDP/69) originado de ou destinado a dispositivos de rede fora de janela de provisionamento - Transferência TFTP de arquivo com extensão `.bin`, `.image`, `.ios`, `.tar` para dispositivo de rede - Acesso ao ROMMON ou modo de configuração de boot de dispositivo de rede via console - Servidor TFTP não autorizado detectado na rede interna respondendo a requisições - Mudança de versão de firmware em dispositivo detectada por comparação com baseline do NMS - Dispositivo de rede reiniciando e carregando imagem de servidor TFTP diferente do padrão ## Técnicas Relacionadas - [[T1542.005-pre-os-boot-tftp-boot|T1542.005 — TFTP Boot]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[T1601.002-modify-system-image-downgrade|T1601.002 — Downgrade System Image]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] ## Analytics Relacionadas - [[an1603-analytic-1603|AN1603 — Analytic 1603]] --- *Fonte: [MITRE ATT&CK — DET0582](https://attack.mitre.org/detectionstrategies/DET0582)*