det0859-detection-of-network-devices

# DET0859 — Detection of Network Devices ## Descrição A estratégia DET0859 aborda a detecção de reconhecimento adversarial sobre dispositivos de rede, incluindo roteadores, switches, firewalls, VPNs, balanceadores de carga e outros equipamentos de infraestrutura. Adversários mapeiam dispositivos de rede para identificar pontos de entrada, versões de firmware vulneráveis, configurações expostas e credenciais padrão não alteradas. Ferramentas como Shodan, Censys e FOFA são amplamente utilizadas para descoberta passiva de dispositivos de rede expostos na internet. Ataques ativos utilizam scanners como Nmap, Masscan e ferramentas específicas de enumeração SNMP para identificar modelos, versões e configurações. Grupos APT têm demonstrado interesse crescente em comprometer dispositivos de rede como ponto de persistência de longo prazo, pois muitos desses equipamentos recebem menos aténção de segurança que endpoints tradicionais. A detecção requer monitoramento de logs SNMP, alertas de login em interfaces de gerenciamento, análise de tráfego anômalo para portas de gerenciamento (Telnet 23, SSH 22, SNMP 161, HTTP/HTTPS de gerência), e correlação com dados de threat intelligence sobre campanhas direcionadas a dispositivos de rede específicos. ## Indicadores de Detecção - Tentativas de login em interface de gerenciamento de dispositivo de rede fora do horário operacional - Varredura de porta direcionada a IPs de dispositivos de rede conhecidos - Consulta SNMP de origem não autorizada a dispositivos gerenciados - Acesso à interface web de gerenciamento de roteador/firewall por IP não listado em allowlist - Downgrade de firmware ou alteração de configuração não autorizada em dispositivo de rede - Tráfego de tunelamento encapsulado em protocolo de gerenciamento de rede (GRE, CAPWAP) - Múltiplas falhas de autenticação SSH em dispositivos de borda em curto intervalo ## Técnicas Relacionadas - [[T1590.005-ip-addresses|T1590.005 — Gather Victim Network Information: IP Addresses]] - [[T1592.004-client-configurations|T1592.004 — Gather Victim Host Information: Client Configurations]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[T1595.001-scanning-ip-blocks|T1595.001 — Active Scanning: Scanning IP Blocks]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1602-data-from-configuration-repository|T1602 — Data from Configuration Repository]] ## Analytics Relacionadas - [[an1991-analytic-1991|AN1991 — Analytic 1991]] --- *Fonte: [MITRE ATT&CK — DET0859](https://attack.mitre.org/detectionstrategies/DET0859)*