# T1556.004 - Network Device Authentication > [!info] Técnica MITRE ATT&CK > **ID:** T1556.004 | **Tática:** Credential Access | **Plataforma:** Network Devices > **Técnica pai:** [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]] ## Descrição Adversários podem utilizar a técnica [[t1601-001-patch-system-image|Patch System Image]] para inserir código malicioso diretamente no sistema operacional de dispositivos de rede, implantando backdoors de autenticação que permitem acesso com uma senha especial hardcoded - contornando completamente os mecanismos de autenticação nativos do dispositivo. Essa sub-técnica representa uma das formas mais sofisticadas e persistentes de comprometimento de infraestrutura de rede. Ao modificar a imagem do sistema operacional de roteadores, switches, firewalls e outros equipamentos de rede, o adversário insere código que intercepta o processo de autenticação: quando um usuário tenta fazer login, o código malicioso primeiro verifica se a senha fornecida corresponde à senha backdoor implantada. Se sim, acesso é concedido imediatamente - independentemente das credenciais legítimas configuradas. Se não, o processo de autenticação normal prossegue, tornando o backdoor completamente invisível para usuários e administradores legítimos. Essa abordagem é especialmente devastadora porque: - **Persiste através de reinicializações** - a imagem modificada permanece no dispositivo - **Sobrevive a trocas de senha** - o backdoor é independente das credenciais configuradas - **Resiste à detecção** - não há tráfego anômalo ou comportamento detectável durante uso legítimo normal - **Escala horizontalmente** - uma única imagem comprometida pode ser implantada em múltiplos dispositivos idênticos A técnica é diretamente relacionada a [[t1601-modify-system-image|T1601 - Modify System Image]] e [[t1601-001-patch-system-image|T1601.001 - Patch System Image]], que descrevem o mecanismo de modificação da imagem; enquanto T1556.004 foca específicamente na **consequência de Credential Access** dessa modificação. > [!danger] Ameaça de Nível Nacional > Essa técnica é predominantemente associada a atores de ameaça de nível estado-nação (APT) com capacidade técnica avançada e acesso a hardware ou firmware de dispositivos de rede. Incidentes documentados incluem campanhas atribuídas a grupos ligados a governos da China, Rússia e Irã. ## Como Funciona ### Attack Flow Detalhado **Fase 1 - Obtenção da Imagem Original** O adversário primeiro obtém acesso administrativo ao dispositivo alvo (via credenciais comprometidas, exploração de CVE, ou acesso físico) e extrai a imagem de firmware/SO atual para análise offline. **Fase 2 - Engenharia Reversa e Modificação** A imagem é analisada para identificar o código de autenticação. O adversário insere uma rotina de desvio que: 1. Captura as credenciais fornecidas durante tentativa de login 2. Compara com a senha backdoor hardcoded 3. Se corresponder: concede acesso com o nível de privilégio desejado 4. Se não corresponder: passa as credenciais ao mecanismo de autenticação original **Fase 3 - Implantação** A imagem modificada é carregada de volta ao dispositivo, geralmente via: - TFTP/SCP (se o adversário tiver acesso de gerenciamento) - Romboot/acesso físico para bypasses de verificação de integridade - Exploração de vulnerabilidades no processo de atualização de firmware **Fase 4 - Persistência e Uso** O adversário usa a senha backdoor para acessar o dispositivo quando necessário, com acesso transparente que não gera logs de autenticação diferenciados do acesso legítimo. ### Malware Associado **[[s0519-synful-knock|SYNful Knock]]** é o exemplo mais documentado dessa técnica em ação. Descoberto em 2015, o SYNful Knock comprometia roteadores Cisco substituindo a imagem IOS por uma versão modificada que: - Implementava um backdoor de autenticação via senha hardcoded - Carregava módulos maliciosos adicionais via pacotes TCP com padrão específico - Sobrevivia a reinicializações do equipamento - Foi encontrado em 19 países, incluindo países da América Latina **[[s1104-slowpulse|SLOWPULSE]]** é uma família de implantes descoberta em 2024 afetando dispositivos Ivanti (anteriormente Pulse Secure VPN). O malware modificava o processo de autenticação para permitir bypass com credenciais hardcoded, afetando organizações governamentais e de defesa em múltiplos países. ### Verificação de Integridade como Defesa Fabricantes modernos implementam mecanismos de verificação de integridade (Secure Boot, verificação de assinatura digital de firmware) para dificultar essa técnica. No entanto, adversários sofisticados têm contornado essas proteções via: - Exploração de vulnerabilidades no próprio processo de verificação - Comprometimento de chaves de assinatura - Ataques a equipamentos com Secure Boot desabilitado ou mal configurado ## Attack Flow ```mermaid graph TB A["Acesso Administrativo Inicial<br/>Credenciais comprometidas / CVE exploited"] --> B["Reconhecimento do Dispositivo<br/>Identificar modelo, versão IOS/firmware"] B --> C["Obtenção da Imagem<br/>Download via TFTP / SCP / console"] C --> D["Análise Offline<br/>Engenharia reversa da imagem"] D --> E["Modificação da Imagem<br/>Inserção do backdoor de autenticação"] E --> F["Verificação Funcional<br/>Teste em ambiente controlado"] F --> G{"Imagem Válida?"} G -->|"Falha na verificação"| D G -->|"Aprovada"| H["Upload da Imagem Comprometida<br/>TFTP / SCP / Romboot"] H --> I["Reinicialização do Dispositivo<br/>Imagem maliciosa carregada"] I --> J["Backdoor Ativo<br/>Senha hardcoded funcional"] J --> K["Acesso Persistente<br/>Login com senha backdoor"] K --> L["Pivoting / Interceptação<br/>Tráfego de rede comprometido"] L --> M["Objetivos do Adversário<br/>Espionagem / Sabotagem / C2"] ``` ## Exemplos de Uso ### SYNful Knock - Roteadores Cisco IOS (2015) O implante [[s0519-synful-knock|SYNful Knock]] representou um marco no comprometimento de infraestrutura de rede. Descoberto pela FireEye/Mandiant em agosto de 2015 em roteadores Cisco 1841, 2811 e 3825, o malware foi encontrado comprometendo equipamentos em **19 países**, incluindo Filipinas, México, Índia e vários países europeus. **Mecanismo:** A imagem IOS era substituída por uma versão modificada de 4 MB que continha o backdoor. A senha hardcoded implantada permitia acesso via Telnet e SSH ao equipamento. Adicionalmente, o implante suportava carregamento de módulos maliciosos adicionais via pacotes TCP especialmente formatados - mesmo em sessões que parecem tráfego HTTP legítimo. **Atribuição:** Embora sem atribuição pública definitiva, o sofisticado mecanismo de persistência e a escala geográfica sugeriram forte envolvimento de atores estado-nação. ### SLOWPULSE - Dispositivos Ivanti/Pulse Secure (2024) O malware [[s1104-slowpulse|SLOWPULSE]], descoberto por pesquisadores de segurança em 2024, comprometia appliances Ivanti Connect Secure (anteriormente Pulse Secure VPN) - amplamente utilizados por organizações governamentais, de defesa e corporativas globalmente. O implante modificava os mecanismos de autenticação para: - Aceitar qualquer senha quando combinada com credenciais de usuários específicos (bypass seletivo) - Registrar credenciais de usuários legítimos para coleta - Manter persistência mesmo após atualizações de sistema **Relevância LATAM:** Dispositivos Ivanti Connect Secure são amplamente utilizados por agências governamentais, bancos e empresas de telecomúnicações no Brasil e América Latina - tornando essa família de malware especialmente relevante para o contexto regional. ### Campanha APT contra Infraestrutura Crítica Operações atribuídas a grupos como Volt Typhoon (APT associado à China) documentaram comprometimento sistemático de dispositivos de rede em infraestrutura crítica de países ocidentais, incluindo utilidades de energia, telecomúnicações e sistemas de transporte. A técnica T1556.004 foi identificada como componente de acesso persistente nessas operações. ## Detecção ### Desafios de Detecção A detecção de imagens de firmware comprometidas é inerentemente difícil porque: - O comportamento do dispositivo parece normal durante operação regular - Logs de autenticação não distinguem o backdoor de logins legítimos - Ferramentas de monitoramento de rede não inspecionam a integridade do firmware em execução ### Estrategias de Detecção **1. Verificação de Integridade de Imagem** Comparar hashes criptográficos (SHA-256) das imagens em execução contra hashes oficiais fornecidos pelo fabricante. Qualquer discrepância indica comprometimento potencial. **2. Monitoramento de Uploads de Firmware** Registrar e alertar para qualquer operação de upload de imagem de sistema, especialmente fora de jánelas de manutenção planejadas. **3. Análise de Comportamento de Autenticação** Detectar padrões de login anômalos - acessos em horários incomuns, de IPs não esperados, especialmente via protocolos legados (Telnet). **4. Network Traffic Analysis** Detectar padrões de tráfego associados a implantes conhecidos (ex: pacotes TCP com padrões específicos usados pelo SYNful Knock para comunicação C2). ### Regra Sigma - Upload de Firmware Suspeito ```yaml title: Network Device Firmware Upload Outside Maintenance Window status: experimental description: Detecta transferência de imagem de firmware para dispositivo de rede fora de jánela de manutenção planejada logsource: category: network_connection product: zeek detection: selection: proto: tcp dest_port: - 69 # TFTP - 22 # SSH (SCP) resp_bytes|gte: 5000000 # Imagens de firmware geralmente > 5MB filter_maintenance: # Excluir IPs de gerenciamento autorizados durante jánelas aprovadas src_ip|cidr: '10.0.0.0/8' condition: selection and not filter_maintenance level: high tags: - attack.credential_access - attack.defense_evasion - attack.t1556.004 - attack.t1601.001 ``` ### Regra Sigma - Acesso via Telnet a Dispositivos de Rede ```yaml title: Telnet Access to Network Infrastructure Device status: experimental description: Detecta acesso Telnet a dispositivos de infraestrutura de rede, protocolo legado frequentemente usado por implantes logsource: category: network_connection product: zeek detection: selection: proto: tcp dest_port: 23 dest_ip|cidr: - '10.0.0.0/8' # Ajustar para ranges de dispositivos de infra filter_known_mgmt: src_ip|cidr: '192.168.100.0/24' # IPs de gerenciamento legítimos condition: selection and not filter_known_mgmt level: medium tags: - attack.credential_access - attack.t1556.004 ``` ### Fontes de Dados Recomendadas | Fonte | Dados | Descrição | |-------|-------|-----------| | Syslog de equipamentos | Logs de autenticação | Monitorar logins, especialmente de IPs incomuns | | Zeek / Suricata | Tráfego TFTP/SCP | Detectar transferências de imagem | | Network Flow (NetFlow/sFlow) | Padrões de tráfego | Anomalias em comúnicações de gerenciamento | | Verificação de integridade | Hash de firmware | Comparação periódica com hashes oficiais do fabricante | | SNMP Traps | Mudanças de configuração | Alertas de modificação de sistema | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Implementar controles rigorosos sobre quais contas têm permissão de fazer upload de firmware ou modificar a configuração de dispositivos de rede. Usar autenticação centralizada (TACACS+/RADIUS) com logging completo. Separar credenciais de gerenciamento de dispositivos de rede de credenciais corporativas gerais. | | M1032 | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | Habilitar MFA para acesso administrativo a dispositivos de rede críticos. Implementar autenticação baseada em certificados para acesso SSH a dispositivos de infraestrutura. Isso não previne o comprometimento da imagem em si, mas aumenta significativamente a dificuldade de obter o acesso administrativo inicial necessário para a implantação do backdoor. | ### Controles Adicionais Recomendados > [!tip] Defesa em Profundidade para Infraestrutura de Rede > 1. **Secure Boot:** Habilitar verificação de assinatura digital de firmware em todos os dispositivos que suportem essa funcionalidade > 2. **Inventário de firmware:** Manter registro de versões de firmware em todos os dispositivos e monitorar por desvios > 3. **Verificação periódica de integridade:** Executar scripts automatizados que comparam hashes das imagens em execução contra hashes oficiais públicados pelo fabricante > 4. **Network segmentation:** Isolar redes de gerenciamento de dispositivos de rede (Out-of-Band Management) em segmento dedicado com acesso fortemente controlado > 5. **Desabilitar Telnet:** Forçar o uso exclusivo de SSH para acesso administrativo; Telnet transmite credenciais em texto claro e é frequentemente usado por implantes para comunicação C2 > 6. **Revisão pós-incidente:** Após qualquer comprometimento de credenciais de rede, fazer verificação de integridade de todos os dispositivos gerenciados com essas credenciais ## Contexto Brasil/LATAM ### Infraestrutura de Rede Brasileira como Alvo O Brasil possui a maior infraestrutura de rede corporativa e de telecomúnicações da América Latina, tornando-se um alvo de alto valor para operações de espionagem e sabotagem de infraestrutura crítica. Múltiplos fatores aumentam o risco de exploração dessa técnica no contexto brasileiro: **Equipamentos legados sem suporte:** Uma proporção significativa da infraestrutura de roteamento e switching corporativa no Brasil utiliza equipamentos com versões de firmware que já não recebem patches de segurança - tornando mais fácil para adversários obter o acesso inicial necessário para implantar backdoors de autenticação. **Operadoras de telecomúnicações:** As principais operadoras do Brasil (e da LATAM em geral) operam infraestruturas de roteamento de backbone usando equipamentos de nível carrier que são alvos de interesse para atores estado-nação interessados em capacidade de interceptação em escala. **Setor de energia e infraestrutura crítica:** A Aneel (Agência Nacional de Energia Elétrica) e concessionárias de distribuição de energia elétrica no Brasil operam redes de controle (OT/ICS) que utilizam dispositivos de rede - alguns com firmware legado - como fronteira entre redes corporativas e de controle. **Campanhas documentadas com impacto LATAM:** | Campanha | Período | Dispositivos Afetados | Relevância LATAM | |----------|---------|----------------------|-----------------| | SYNful Knock | 2015 | Cisco IOS | México identificado entre os países afetados | | SLOWPULSE | 2023-2024 | Ivanti Connect Secure | Dispositivos usados por gov. BR e empresas LATAM | | Volt Typhoon | 2023-2024 | Múltiplos fabricantes | Infraestrutura crítica de países aliados dos EUA | ### Avaliação de Risco Regional > [!warning] Risco para Infraestrutura Crítica Brasileira > A combinação de infraestrutura de rede legada, crescente tensão geopolítica com grupos APT de interesse estratégico no Brasil, e maturidade de detecção ainda em desenvolvimento em muitas organizações cria um cenário de risco elevado para comprometimento via T1556.004. Recomenda-se que organizações com infraestrutura crítica priorizem programas de verificação de integridade de firmware. ### Recomendações Específicas para o Contexto Brasileiro 1. **Anatel e CGCTC:** Coordenação com agências regulatórias para compartilhamento de indicadores de imagens de firmware comprometidas 2. **CERT.br:** Monitorar alertas do [[cert-br|CERT.br]] sobre campanhas direcionadas a infraestrutura de rede no Brasil 3. **Programa Nacional de Segurança Cibernética (ProSecTI):** Alinhamento com diretrizes governamentais para proteção de infraestrutura crítica nacional 4. **Participação em ISACs:** Engajamento em Information Sharing and Analysis Centers setoriais para troca de inteligência sobre ameaças a dispositivos de rede ## Software Associado | Ferramenta / Malware | Tipo | Dispositivos Afetados | Descoberto | |----------------------|------|----------------------|-----------| | [[s1104-slowpulse\|SLOWPULSE]] | Implante de firmware | Ivanti Connect Secure / Pulse Secure | 2023-2024 | | [[s0519-synful-knock\|SYNful Knock]] | Implante de IOS | Cisco 1841, 2811, 3825 | 2015 | ## Referências - [MITRE ATT&CK - T1556.004 Network Device Authentication](https://attack.mitre.org/techniques/T1556/004) - [Mandiant - SYNful Knock: A Cisco Router Implant (2015)](https://www.mandiant.com/resources/blog/synful-knock-detecting-cisco-ios-rootkit) - [Cisco - SYNful Knock Advisory](https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150916-iosxe) - [CISA Advisory - Ivanti Connect Secure Vulnerabilities](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060b) - [NSA/CISA - Network Infrastructure Security Guide](https://www.nsa.gov/Press-Room/Cybersecurity-Advisories-Guidance/) - [CERT.br - Ataques a Infraestrutura de Rede](https://www.cert.br/docs/alertas/) - [Mandiant - APT40 / Volt Typhoon Infrastructure Targeting Research](https://attack.mitre.org/groups/) --- *Fonte: [MITRE ATT&CK - T1556.004](https://attack.mitre.org/techniques/T1556/004)*