t1602-002-network-device-configuration-dump

# T1602.002 - Network Device Configuration Dump ## Descrição Network Device Configuration Dump é uma técnica de [[collection|Coleta]] em que adversários acessam e extraem arquivos de configuração de dispositivos de rede - roteadores, switches, firewalls e appliances de telecomúnicações - para mapear a infraestrutura da vítima, identificar credenciais hardcoded e planejar movimentos futuros dentro da rede. Os arquivos de configuração de equipamentos de rede (running-config, startup-config) são documentos extraordinariamente ricos em inteligência: contêm topologia de rede, VLANs, ACLs, rotas estáticas, credenciais de usuários locais, community strings SNMP, chaves de autenticação de roteamento (OSPF, BGP) e configurações de VPN. Um adversário que obtém esses arquivos pode reconstituir fielmente o mapa de rede da organização. No contexto brasileiro, essa técnica é de especial relevância dado o uso extensivo de equipamentos de telecomúnicações por **operadoras (ISPs)**, bancos, empresas de energia e órgãos governamentais - muitos desses ambientes ainda operam com SNMP v1/v2c (sem autenticação forte) e com protocolos legados como Cisco Smart Install (SMI) expostos na rede. O [[g1045-salt-typhoon|Salt Typhoon]], grupo de espionagem chinês vinculado ao Ministério de Segurança do Estado (MSS), conduziu uma das campanhas mais impactantes documentadas usando esta técnica: o comprometimento de dezenas de provedores de telecomúnicações globais, com acesso a metadados de comúnicações de alvos governamentais e de inteligência. > **Técnica pai:** [[t1602-data-from-configuration-repository|T1602 - Data from Configuration Repository]] --- ## Attack Flow ```mermaid graph TB A([Acesso à Rede de Gerenciamento]) --> B[Identificar dispositivos com SNMP/SMI expostos] B --> C{{"T1602.002 Config Dump"}}:::highlight C --> D[Exfiltrar running-config via TFTP/SCP] C --> E[Query SNMP MIB de configuração] D --> F[Mapear topologia e credenciais] E --> F F --> G[Lateral Movement em dispositivos adjacentes] G --> H([Persistência na Infraestrutura de Rede]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` --- ## Como Funciona **Passo 1 - Identificar dispositivos e protocolos de gerenciamento expostos** O adversário realiza reconhecimento para identificar dispositivos de rede acessíveis (roteadores Cisco, Juniper, Huawei, switches de datacenters) e os protocolos de gerenciamento ativos: SNMP (UDP/161), Cisco Smart Install (TCP/4786), TFTP (UDP/69), SSH (TCP/22) e interfaces web de administração. Community strings SNMP padrão (`public`, `private`) são testadas sistematicamente - ainda prevalentes em equipamentos mais antigos de ISPs brasileiros. **Passo 2 - Extrair configuração via protocolo de gerenciamento** Utilizando SNMP com a MIB `ccCopyProtocol` (Cisco Config Copy MIB), o atacante instrui o dispositivo a copiar sua running-config para um servidor TFTP controlado pelo adversário. Alternativamente, via Cisco Smart Install (SMI) sem autenticação, é possível enviar comandos de cópia diretamente. Em dispositivos com credenciais fracas ou padrão, acesso SSH direto permite executar `show running-config` e capturar o output. **Passo 3 - Analisar e explorar o conteúdo da configuração** O arquivo de configuração é parseado para extrair: credenciais de usuários locais (hashes `enable secret`, usuários `username`), community strings SNMP de escrita (`snmp-server community X rw`), chaves de autenticação de BGP/OSPF, configurações de túneis VPN (pre-shared keys), e a topologia completa de roteamento. Essas informações habilitam acesso persistente, man-in-the-middle em sessões BGP e pivoting para segmentos de rede previamente inacessíveis. --- ## Detecção ### Indicadores em Logs de Dispositivos e Rede | Fonte | Indicador | Descrição | |-------|-----------|-----------| | Syslog (Cisco IOS) | `%SYS-5-CONFIG_I` de IP externo | Arquivo de configuração modificado ou copiado por IP fora da faixa de gerenciamento | | NetFlow / IPFIX | Conexão TFTP (UDP/69) de saída | Dispositivo de rede iniciando transferência TFTP para IP externo - altamente suspeito | | IDS/IPS | Requisição SNMP `ccCopyEntry` OID | Query à MIB de cópia de configuração Cisco - raramente legítima em produção | | Firewall | Tráfego TCP/4786 (Smart Install) | Cisco Smart Install deve estar desabilitado; qualquer tráfego nessa porta é anômalo | | SNMP Trap | `authenticationFailure` de IP inesperado | Tentativas de força bruta de community string a partir de IP não autorizado | ### Sigma Rule ```yaml title: Network Device Config Exfiltration via SNMP Config Copy MIB id: d9c14e2a-7f83-4b56-a9e2-netdevicedump01 status: experimental description: > Detecta requisições SNMP à MIB de cópia de configuração da Cisco (ccCopyTable), indicador de possível extração de configuração de dispositivo de rede. Aplicável a ambientes com SNMP trap forwarding para SIEM. author: RunkIntel daté: 2026-03-24 logsource: product: cisco service: snmp detection: selection_oid: oid|startswith: '1.3.6.1.4.1.9.9.96' # ccCopyTable MIB OID operation: 'SET' selection_community: community|contains: - 'public' - 'private' - 'community' condition: selection_oid or selection_community falsepositives: - Sistemas de backup de configuração legítimos (RANCID, Oxidized) operando em horário programado - Ferramentas de NMS (SolarWinds, PRTG) com acesso SNMP de escrita aprovado level: high tags: - attack.collection - attack.t1602.002 fields: - src_ip - oid - community - device_ip - timestamp ``` --- ## Mitigação | ID | Mitigação | Aplicação em Organizações Brasileiras | |----|-----------|--------------------------------------| | [[m1054-software-configuration\|M1054]] | Software Configuration | Desabilitar SNMP v1/v2c; migrar para SNMPv3 com autenticação SHA e privacidade AES - obrigatório para ISPs regulados pela Anatel | | [[m1037-filter-network-traffic\|M1037]] | Filter Network Traffic | ACL restritindo acesso SNMP (UDP/161-162) e TFTP (UDP/69) apenas à subnet de gerenciamento via firewall ou ACL de infra | | [[m1030-network-segmentation\|M1030]] | Network Segmentation | VLAN de gerenciamento out-of-band (OOB) segregada do plano de dados - separação física recomendada para infraestrutura crítica | | [[m1031-network-intrusion-prevention\|M1031]] | Network Intrusion Prevention | IPS com assinaturas para Cisco Smart Install exploitation e SNMP Config Copy MIB queries anômalas | | [[m1041-encrypt-sensitive-information\|M1041]] | Encrypt Sensitive Information | Criptografar senhas em configurações (`service password-encryption`); usar `enable secret` (MD5/SHA) em vez de `enable password` | | [[m1051-update-software\|M1051]] | Updaté Software | Manter firmware de dispositivos de rede atualizado - CVEs em IOS XE e NX-OS foram explorados para obter acesso que precede esta técnica | > **Alerta LATAM:** Equipamentos Huawei (amplamente presentes em ISPs brasileiros e infraestrutura de energia na região) têm seu próprio protocolo de gestão (NETCONF/YANG, Huawei eSight) - as mesmas práticas de restrição de acesso se aplicam, mas os OIDs SNMP e comandos de dump são específicos da plataforma. --- ## Threat Actors que Usam ### [[g1045-salt-typhoon|Salt Typhoon]] Grupo de espionagem de estado patrocinado pelo governo chinês (MSS), também rastreado como Earth Estries e FamousSparrow. Salt Typhoon protagonizou uma das mais impactantes campanhas de espionagem em infraestrutura de telecomúnicações já documentadas: entre 2023 e 2024, o grupo comprometeu pelo menos nove operadoras de telecomúnicações nos EUA, além de alvos na Ásia e Europa, explorando precisamente a coleta de configurações de dispositivos de rede para mapear redes de backbone e interceptar comúnicações de alvos governamentais. A relevância para o Brasil é direta: operadoras como Claro, Vivo/Telefônica, TIM e Oi operam infraestrutura BGP e de backbone com equipamentos similares. A espionagem de tráfego em pontos de troca de internet (PTTs como IX.br) seria uma extensão natural dessa técnica em um cenário de escalada de tensões geopolíticas envolvendo o Brasil. Esta técnica é frequentemente combinada com [[t1190-exploit-public-facing-application|Exploit Public-Facing Application]] (exploração inicial de appliances de borda) e [[t1078-valid-accounts|Valid Accounts]] (reutilização de credenciais extraídas das configurações). --- *Fonte: [MITRE ATT&CK - T1602.002](https://attack.mitre.org/techniques/T1602/002)*