det0592-detection-strategy-for-data-from-configuration-repository-on-network-dev

# DET0592 — Detection Strategy for Data from Configuration Repository on Network Devices ## Descrição A coleta de dados de repositórios de configuração em dispositivos de rede ([[T1602.002 - Data from Configuration Repository Network Device Configuration Dump|T1602.002]]) envolve a extração não autorizada de configurações de roteadores, switches e firewalls para obter credenciais, topologia de rede, políticas de segurança e chaves de criptografia. Configurações de dispositivos Cisco contêm frequentemente senhas de enable, comunidades SNMP, chaves de VPN e credenciais de serviços de AAA (RADIUS/TACACS). Grupos de espionagem nacionais como [[g1017-volt-typhoon]] e [[g1045-salt-typhoon]] utilizam essa técnica para mapear a infraestrutura de telecomúnicações de alvos antes de ataques persistentes. Os métodos de extração incluem: `show running-config` via CLI autenticado, TFTP `copy running-config tftp:`, SNMP `GetBulkRequest` para OID de configuração, ou NETCONF/YANG queries via protocolo de gerenciamento moderno. Em ambientes com SNMP v2c, a comunidade `public` ou comunidades fracas são frequentemente exploradas para leitura não-autenticada de configuração parcial. A extração via SNMP não requer autenticação forte, tornando-a especialmente perigosa. A detecção deve monitorar transferências TFTP e SCP de configurações fora de janelas de backup, consultas SNMP incomuns (especialmente com community strings não-padrão), e comandos de exportação de configuração executados via CLI em horário atípico ou por sessão de IP não reconhecido. Sistemas de NCM (Network Configuration Management) devem alertar para divergências de configuração. ## Indicadores de Detecção - Transferência TFTP `copy running-config tftp:` para servidor não registrado como destino de backup - Consulta SNMP com OID `1.3.6.1.4.1.9.2.1.55` (Cisco running-config) de IP não autorizado - `show running-config` seguido de conexão SCP de saída para destino externo - NETCONF `get-config running` de IP externo à rede de gerenciamento - Acesso via CLI a dispositivo de rede por IP sem histórico de gerenciamento registrado - Community string SNMP diferente das registradas no baseline de segmentação de rede ## Técnicas Relacionadas - [[T1602.002-data-from-configuration-repository-network-device-config-dump|T1602.002 — Network Device Configuration Dump]] - [[t1602-data-from-configuration-repository|T1602 — Data from Configuration Repository]] - [[T1602.001-data-from-configuration-repository-snmp|T1602.001 — SNMP (MIB Dump)]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] ## Analytics Relacionadas - [[an1630-analytic-1630|AN1630 — Analytic 1630]] --- *Fonte: [MITRE ATT&CK — DET0592](https://attack.mitre.org/detectionstrategies/DET0592)*