# T1542.005 - TFTP Boot ## Descrição **TFTP Boot** (ou *netbooting*) é uma sub-técnica de [[t1542-pre-os-boot|T1542 - Pre-OS Boot]] na qual adversários abusam do mecanismo legítimo de inicialização via rede para carregar imagens de sistema operacional maliciosas em dispositivos de infraestrutura de rede, como roteadores e switches. O protocolo TFTP (*Trivial File Transfer Protocol*, porta UDP/69) é amplamente utilizado por administradores de rede para gerenciar e atualizar imagens de firmware em dispositivos Cisco IOS, Juniper JunOS e outros sistemas de rede de forma centralizada. Essa funcionalidade legítima pode ser explorada por um adversário que já obteve acesso privilegiado ao dispositivo de rede - sejá por credenciais comprometidas ou por outra técnica de acesso inicial. Ao alterar a configuração de boot do dispositivo para apontar para um servidor TFTP controlado pelo atacante, o adversário garante que, ao próximo reinício ou reset do dispositivo, uma imagem modificada e maliciosa será carregada. Essa imagem pode conter backdoors, funcionalidades adicionais para captura de tráfego (sniffing), ou mecanismos de persistência de longo prazo que sobrevivem a atualizações de configuração normais. Esta técnica é frequentemente usada em conjunto com [[t1601-modify-system-image|T1601 - Modify System Image]] para criar implantes persistentes em dispositivos de infraestrutura crítica, resultando em comprometimento altamente difícil de detectar e remover. É análoga à técnica [[t1542-004-rommonkit|T1542.004 - ROMMONkit]], porém opera no nível da imagem de boot via rede em vez de modificar o monitor ROM. O impacto é severo: dispositivos comprometidos permitem interceptação de todo o tráfego que passa por eles, manipulação de rotas, criação de túneis encobertos, e manutenção de acesso persistente à rede mesmo após troca de credenciais de usuários. > **Técnica pai:** [[t1542-pre-os-boot|T1542 - Pre-OS Boot]] --- ## Como Funciona O fluxo de ataque via TFTP Boot envolve três fases principais: ### Fase 1 - Acesso e Reconhecimento O adversário primeiramente obtém acesso privilegiado ao dispositivo de rede - tipicamente via credenciais de administração comprometidas (exploradas por [[t1078-valid-accounts|T1078 - Valid Accounts]]) ou por exploração de vulnerabilidades na interface de gerenciamento (SSH, Telnet, HTTP/HTTPS de administração). Após o acesso, mapeia a configuração de boot atual para entender o fluxo de inicialização. ### Fase 2 - Preparação da Imagem e do Servidor TFTP O adversário configura um servidor TFTP sob seu controle (frequentemente em um host já comprometido dentro da rede alvo, ou em infraestrutura externa com acesso permitido) e hospeda nele uma imagem de sistema operacional modificada - que pode ser uma versão legítima do IOS/JunOS com backdoors inseridos, ou uma imagem completamente customizada. ### Fase 3 - Modificação da Configuração de Boot Com acesso privilegiado, o adversário modifica os parâmetros de boot do dispositivo para priorizar o carregamento via TFTP em vez do armazenamento local (flash/NVRAM). Em dispositivos Cisco, isso pode envolver comandos como `boot system tftp <imagem> <ip-servidor>` no arquivo de configuração de inicialização. Ao próximo boot, o dispositivo carrega a imagem maliciosa transparentemente. ### Comandos de configuração típicos (para fins de detecção) Em ambientes Cisco IOS, os indicadores de comprometimento incluem entradas no `show running-config` ou `show startup-config` com referências a servidores TFTP externos não reconhecidos, ou alterações no `boot system` statement não autorizadas. --- ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial<br/>Credenciais ou exploit<br/>de gerenciamento"] --> B["🔍 Reconhecimento<br/>Mapeia configuração<br/>de boot atual"] B --> C["🖥️ Prepara Servidor TFTP<br/>Host comprometido<br/>na rede alvo"] C --> D["🔧 Cria Imagem Maliciosa<br/>IOS/JunOS com backdoor<br/>ou implante inserido"] D --> E["⚙️ Modifica Config de Boot<br/>boot system tftp<br/>aponta para servidor evil"] E --> F["💾 Salva Startup-Config<br/>Mudança persiste em<br/>NVRAM do dispositivo"] F --> G{"🔄 Reinicialização<br/>Agendada ou forçada"} G --> H["📥 Device carrega<br/>imagem via TFTP<br/>do servidor controlado"] H --> I["🔐 Persistência Estabelecida<br/>Backdoor ativo na<br/>infraestrutura de rede"] I --> J["📡 Interceptação de Tráfego<br/>Sniffing, manipulação<br/>de rotas, túneis C2"] style A fill:#c0392b,color:#fff style I fill:#8e44ad,color:#fff style J fill:#2c3e50,color:#fff style H fill:#e74c3c,color:#fff ``` --- ## Exemplos de Uso ### APT atribuídos a estados-nação e infraestrutura de rede Ataques a dispositivos de infraestrutura de rede com modificação de imagens foram documentados em campanhas de espionagem de alto nível: **Cisco Talos - SYNful Knock (2015)** O malware [[s0519-synful-knock|SYNful Knock]] foi um dos primeiros casos documentados publicamente de implante em roteadores Cisco IOS. Afetou dispositivos Cisco 1841, 2811 e 3825 em múltiplos países. A imagem modificada substituía a imagem IOS legítima e instalava um backdoor persistente que sobrevivia a reboots. Embora o vetor inicial fosse por credenciais comprometidas, a persistência usava mecanismo similar ao TFTP Boot para manter a imagem maliciosa. **NSA - JETPLOW e HALLUXWATER (via Snowden/Shadow Brokers)** Documentos vazados revelaram que a NSA mantinha implantes para dispositivos Cisco PIX e ASA capazes de modificar o processo de boot e carregar código persistente. O implante JETPLOW era projetado específicamente para modificar o firmware BIOS/boot de firewalls Cisco. **Grupos APT chineses - campanha contra ISPs** Relatórios do NCSC britânico e CISA norte-americana (2023) documentaram grupos de ameaça chineses - incluindo atores associados ao [[g1017-volt-typhoon|Volt Typhoon]] - comprometendo dispositivos de rede de ISPs e provedores de telecomúnicações, frequentemente com foco em persistência de longo prazo via modificação de imagens. **Impacto em infraestrutura LATAM** Dado que grande parte da infraestrutura de rede do Brasil e LATAM utiliza dispositivos Cisco e Juniper com versões de firmware desatualizadas, a superfície de ataque para esta técnica é considerável. Operadoras de telecomúnicações, bancos com redes MPLS próprias e órgãos governamentais são alvos de alto valor. --- ## Detecção ### Estrategias principais | Vetor | Indicador | Prioridade | |-------|-----------|-----------| | Configuração de boot | Entradas `boot system tftp` não autorizadas | Alta | | Tráfego de rede | Sessões TFTP (UDP/69) de/para dispositivos de rede | Alta | | Hash de imagem | Divergência entre hash esperado e imagem carregada | Crítica | | Logs de acesso | Acessos privilegiados a horários incomuns | Média | | Comparação de config | Diffs não autorizados entre startup e running config | Alta | ### Regra Sigma - Detecção de Tráfego TFTP Anômalo ```yaml title: TFTP Boot Configuration Change on Network Device id: a7b3c9e1-2d4f-4a8b-9c6d-1e2f3a4b5c6d status: experimental description: > Detecta tentativas de modificação da configuração de boot de dispositivos de rede para apontar para servidores TFTP não autorizados. Indica possível tentativa de implantar imagem maliciosa via T1542.005. author: RunkIntel daté: 2026-03-25 references: - https://attack.mitre.org/techniques/T1542/005/ - https://blog.talosintelligence.com/synful-knock/ logsource: category: network product: cisco service: syslog detection: keywords: - 'boot system tftp' - 'tftp-server' - 'copy tftp' condition: keywords timeframe: 1h falsepositives: - Mudanças de firmware legítimas por administradores de rede - Provisionamento inicial de dispositivos em ambiente controlado level: high tags: - attack.defense_evasion - attack.persistence - attack.t1542.005 ``` ### Regra Sigma - Sessão TFTP Inesperada ```yaml title: Unexpected TFTP Session from Network Infrastructure Device id: b8c4d0f2-3e5a-5b9c-0d7e-2f3a4b5c6d7e status: experimental description: > Detecta sessões TFTP originárias de dispositivos de infraestrutura de rede (roteadores, switches) para hosts não catalogados como servidores TFTP legítimos. author: RunkIntel daté: 2026-03-25 logsource: category: network product: firewall detection: selection: dst_port: 69 proto: udp filter: dst_ip|cidr: - '10.0.0.0/8' # ajustar para range do servidor TFTP legítimo condition: selection and not filter falsepositives: - Servidores TFTP legítimos fora do range filtrado level: high tags: - attack.defense_evasion - attack.t1542.005 ``` --- ## Mitigação | ID | Mitigação | Descrição Detalhada | |----|-----------|---------------------| | [[m1046-boot-integrity\|M1046 - Boot Integrity]] | **Boot Integrity** | Usar Secure Boot e verificação de assinatura criptográfica de imagens. Cisco IOS XE suporta Image Verification com hash SHA-512. Verificar regularmente hash das imagens carregadas contra baseline conhecido. | | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | **Network IPS** | Bloquear tráfego TFTP (UDP/69) não autorizado via ACLs e IPS. Alertar sobre qualquer sessão TFTP originada de dispositivos de infraestrutura para hosts não catalogados. | | [[m1028-operating-system-configuration\|M1028 - OS Configuration]] | **Hardening de Configuração** | Desabilitar netbooting quando não necessário (`no boot network`). Restringir quais servidores TFTP são permitidos via configuração de ACL no dispositivo. Usar `boot system flash` para forçar boot local. | | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | **Gestão de Contas Privilegiadas** | Implementar MFA para acesso a interfaces de gerenciamento de rede (SSH, HTTPS). Usar AAA (TACACS+/RADIUS) com registro centralizado de todos os comandos privilegiados executados. | | [[m1035-limit-access-to-resource-over-network\|M1035 - Limit Access Over Network]] | **Segmentação de Rede** | Isolar a rede de gerenciamento (Out-of-Band management) do plano de dados. Bloquear acesso SSH/Telnet a dispositivos de rede exceto de hosts de jump server autorizados. | | [[m1047-audit\|M1047 - Audit]] | **Auditoria Contínua** | Verificar regularmente (diariamente) hashes das imagens de firmware em dispositivos críticos. Comparar configurações de startup contra baseline versionado em sistema de controle de configuração (ex: RANCID, Oxidized). | --- ## Contexto Brasil/LATAM ### Exposição de Infraestrutura de Rede no Brasil O Brasil possui uma das maiores densidades de dispositivos Cisco e Juniper da América Latina, concentrados principalmente em: - **Operadoras de telecomúnicações:** Claro, Vivo, TIM, Oi - com infraestrutura de backbone nacional vulnerável se dispositivos de borda não forem devidamente protegidos - **Sistema financeiro:** Bancos com redes MPLS próprias (Itaú, Bradesco, BB, Caixa) que conectam agências e datacenters - **Órgãos federais:** Ministérios e autarquias conectados via RNP (Rede Nacional de Ensino e Pesquisa) e redes privadas ### Ameaças de Estado e Espionagem Atores de ameaça patrocinados por estados com interesse em inteligência sobre infraestrutura brasileira incluem grupos alinhados a China ([[g1017-volt-typhoon|Volt Typhoon]]), Rússia e Iran. O comprometimento de dispositivos de core de ISPs brasileiros permitiria interceptação massiva de tráfego - espionagem governamental e corporativa de alto valor. Em 2023, o CERT.br públicou alertas sobre campanhas de comprometimento de dispositivos de borda em infraestrutura crítica brasileira, alinhados com tendências globais identificadas pela CISA e NCSC. ### Setores de Alto Risco no Brasil - [[financial|Setor Financeiro]] - redes privadas de missão crítica - [[government|Governo Federal]] - ministérios e agências reguladoras - [[energy|Energia]] - ANEEL, operadoras de usinas e distribuidoras - [[setor-telecomúnicacoes|Telecomúnicações]] - ISPs e operadoras de backbone ### Considerações Regulatórias A LGPD (Lei Geral de Proteção de Dados) e as normas do Banco Central (Resolução CMN 4.658/2018 para setor financeiro) exigem controles robustos sobre a segurança de infraestrutura de rede. Um comprometimento via TFTP Boot em uma operadora financeira pode resultar em violação dessas normas e obrigação de notificação ao BACEN e à ANPD. --- ## Referências - [MITRE ATT&CK - T1542.005](https://attack.mitre.org/techniques/T1542/005/) - [Cisco Talos - SYNful Knock: Cisco Router Implant](https://blog.talosintelligence.com/synful-knock/) - [FireEye - SYNful Knock Technical Analysis](https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html) - [NSA ANT Catalog - JETPLOW (via EFF)](https://www.eff.org/document/2013-12-29-spiegel-nsa-ant-catalog) - [CISA Advisory AA23-209A - Volt Typhoon](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-209a) - [CERT.br - Alertas de Infraestrutura Crítica](https://www.cert.br/alertas/) - [Cisco - Image Verification Guide](https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-software-releases-121-mainline/7535-image-verify.html) - [[t1601-modify-system-image|T1601 - Modify System Image]] - [[t1542-004-rommonkit|T1542.004 - ROMMONkit]] - [[t1078-valid-accounts|T1078 - Valid Accounts]]