# T1601.001 - Patch System Image ## Técnica Pai [[t1601-modify-system-image|T1601 - Modify System Image]] ## Descrição Adversários podem modificar o sistema operacional de um dispositivo de rede - roteadores, switches, firewalls - para introduzir novas capacidades ou enfraquecer defesas existentes. Diferentemente de sistemas de propósito geral, muitos dispositivos de rede utilizam arquitetura monolítica: todo o sistema operacional e a maior parte das funcionalidades estão contidos em um único arquivo de imagem (como o IOS da Cisco ou o JunOS da Juniper). Ao "patchear" essa imagem - sejá em armazenamento persistente ou diretamente na memória em execução - o adversário pode implantar backdoors, desativar mecanismos de criptografia, suprimir logs de auditoria, ou alterar a saída de comandos diagnósticos para ocultar a presença do implante. Esta técnica é altamente sofisticada e tipicamente associada a atores de ameaça de nível estado-nação com conhecimento profundo de sistemas embarcados e arquiteturas de roteadores. Seu impacto é crítico: um dispositivo de borda comprometido oferece visibilidade total sobre o tráfego de rede e posição privilegiada para ataques subsequentes. ## Como Funciona Existem dois planos de ataque distintos, com características operacionais diferentes: ### 1. Modificação em armazenamento (persistente) O adversário utiliza os procedimentos padrão disponíveis para operadores de dispositivos - acesso via console, SSH ou protocolos de transferência como **TFTP**, **FTP** ou **SCP** - para substituir ou complementar a imagem do sistema operacional armazenada em memória flash (não-volátil). A imagem original pode ser sobrescrita diretamente, ou uma nova imagem comprometida pode ser gravada ao lado da original, com o dispositivo reconfigurado para inicializar a partir da versão maliciosa. Esta abordagem **sobrevive a reinicializações** e persiste até que o firmware sejá auditado e restaurado. Alternativamente, o adversário pode explorar o [[t1542-005-tftp-boot|TFTP Boot]] para forçar o dispositivo a inicializar a partir de uma imagem servida remotamente por infraestrutura controlada pelo atacante. ### 2. Modificação em memória (volátil) O adversário opera diretamente na imagem do sistema operacional **em execução**, sem modificar o armazenamento persistente: - **Via comandos de debug nativos:** Utilizando capacidades de depuração do próprio sistema operacional (como os comandos `debug` do IOS da Cisco), o adversário acessa e modifica endereços de memória específicos onde o SO está em execução. Este método exige acesso administrativo ao dispositivo. - **Via bootloader comprometido:** O adversário faz uso de código malicioso previamente implantado no bootloader - através de técnicas como [[t1542-004-rommonkit|ROMMONkit]] - para manipular diretamente a memória do sistema operacional durante o processo de inicialização, antes mesmo que o SO principal tome o controle. A modificação em memória **não sobrevive a reinicializações** isoladamente, mas combinada com [[t1542-004-rommonkit|ROMMONkit]], oferece persistência: o bootloader reaplica o patch a cada boot. ### Capacidades introduzidas ou degradadas | Objetivo | Técnica abusada | |----------|----------------| | Desativar criptografia de tráfego | [[t1600-weaken-encryption\|T1600 - Weaken Encryption]] | | Contornar autenticação do dispositivo | [[t1556-004-network-device-authentication\|T1556.004 - Network Device Authentication]] | | Ignorar regras de perímetro | [[t1599-network-boundary-bridging\|T1599 - Network Boundary Bridging]] | | Capturar credenciais em trânsito | [[t1056-001-keylogging\|T1056.001 - Keylogging]] | | Criar proxy encadeado | [[t1090-003-multi-hop-proxy\|T1090.003 - Multi-hop Proxy]] | | Acesso furtivo por porta secreta | [[t1205-001-port-knocking\|T1205.001 - Port Knocking]] | **Encobrimento:** Quando o patch é combinado com [[t1601-002-downgrade-system-image|T1601.002 - Downgrade System Image]], o adversário pode alterar a saída do comando de verificação de versão do firmware para exibir o número original mais alto - ocultando o downgrade e o patch aplicado dos defensores que fazem auditoria remota. ## Attack Flow ```mermaid graph TB A["Acesso Privilegiado ao Dispositivo<br/>(console / SSH / credenciais obtidas)"] --> B{Plano de ataque} B -->|Armazenamento persistente| C["Download de imagem<br/>via TFTP/FTP/SCP"] B -->|Memória em execução| D["Comandos de debug<br/>ou ROMMONkit"] B -->|Boot externo| E["TFTP Boot de<br/>imagem remota maliciosa"] C --> F["Modificação da imagem<br/>(patch de backdoor / remoção de defesas)"] D --> G["Patch direto na memória<br/>(volátil - não persiste sem ROMMONkit)"] E --> H["Inicialização com<br/>imagem comprometida"] F --> I["Reconfiguração do boot<br/>para nova imagem"] G --> J["Combinação com ROMMONkit<br/>para persistência"] H --> K["Dispositivo comprometido<br/>operando normalmente"] I --> K J --> K K --> L["Backdoor ativo<br/>(proxy, keylog, bypass de criptografia)"] L --> M["Cobertura de rastros<br/>(output de 'show version' falsificado)"] ``` ## Exemplos de Uso **SYNful Knock (Cisco IOS implant):** O exemplo mais documentado de T1601.001 em campo. O implante [[s0519-synful-knock|SYNful Knock]], descoberto pela Mandiant em 2015, infectou roteadores Cisco 1841, 2811 e 3825 em pelo menos 4 países. O firmware modificado introduzia um backdoor persistente ativado por sequências TCP especiais (port knocking), permitindo acesso remoto sem autenticação. O implante substituía funções legítimas do IOS para interceptar pacotes de ativação específicos antes que o sistema operacional os processasse normalmente. **Campanhas APT vinculadas a estados:** Grupos de nível estado-nação, incluindo atores atribuídos à Rússia e China, foram documentados utilizando técnicas de modificação de firmware em infraestrutura crítica de telecomúnicações. Em 2023, o NCSC e o CISA públicaram advisory conjunto sobre comprometimento de dispositivos Cisco IOS XE via CVE-2023-20198, com implantação de backdoors em imagem - técnica relacionada. **Infraestrutura de ISPs como alvo:** Provedores de internet em países com baixo nível de maturidade em segurança de infraestrutura de rede - incluindo ISPs de médio porte no Brasil - utilizam equipamentos Cisco e Juniper sem controles adequados de integridade de firmware, tornando-os alvos potenciais para esta técnica. ## Detecção ```yaml title: Transferência de Arquivo de Sistema para Dispositivo de Rede via TFTP status: experimental logsource: category: network product: cisco_ios detection: selection: EventType: "SYS-6-LOGGINGHOST_STARTSTOP" selection_tftp: Message|contains: - "copy tftp:" - "copy ftp:" - "copy scp:" - "archive download-sw" condition: 1 of selection_* level: high tags: - attack.defense_evasion - attack.t1601.001 ``` ```yaml title: Alteração de Configuração de Boot em Dispositivo de Rede status: experimental logsource: category: network product: cisco_ios detection: selection: Message|contains: - "boot system flash" - "boot system tftp" - "no boot system" condition: selection level: critical tags: - attack.defense_evasion - attack.t1601.001 ``` **Estrategia de detecção complementar:** - Comparar periodicamente o **hash criptográfico** da imagem de firmware em execução com o hash oficial públicado pelo fabricante - divergências indicam modificação - Habilitar **Cisco IOS Software Integrity Assurance (SIA)** para válidação em tempo de boot - Monitorar logs de syslog para comandos de cópia/transferência de arquivos incomuns - Utilizar **SNMP traps** ou streaming de telemetria para alertar em mudanças de configuração - Verificar `show version` **de fora do dispositivo** (via sistemas de gerenciamento de rede fora de banda), pois o output local pode ter sido falsificado ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1046 | [[m1046-boot-integrity\|M1046 - Boot Integrity]] | Habilitar Secure Boot e válidação de integridade de imagem no boot (Cisco Trust Anchor, Juniper TPM); verificar periodicamente hashes de firmware contra valores públicados pelo fabricante | | M1045 | [[m1045-code-signing\|M1045 - Code Signing]] | Utilizar apenas imagens de firmware assinadas digitalmente pelo fabricante; rejeitar imagens sem assinatura válida | | M1043 | [[m1043-credential-access-protection\|M1043 - Credential Access Protection]] | Proteger credenciais de acesso aos dispositivos (console, SSH, SNMP v3); evitar credenciais compartilhadas ou padrão de fábrica | | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Implementar contas individuais por administrador; registrar e auditar todos os acessos privilegiados; usar AAA (Authentication, Authorization, Accounting) | | M1032 | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | Exigir MFA para acesso a consoles de gerenciamento e interfaces de administração de dispositivos de rede | | M1027 | [[m1027-password-policies\|M1027 - Password Policies]] | Aplicar políticas de senha forte para contas de gerenciamento; rotacionar credenciais regularmente; não reutilizar senhas entre dispositivos | ## Software Associado - [[s0519-synful-knock|SYNful Knock]] - implante de IOS Cisco documentado, primeiro exemplo público de T1601.001 em larga escala ## Contexto Brasil/LATAM A técnica de Patch System Image é particularmente preocupante no contexto brasileiro por razões estruturais: **Infraestrutura de telecomúnicações como alvo estratégico:** O Brasil possui a maior infraestrutura de telecomúnicações da América Latina, com ISPs de médio porte que frequentemente operam equipamentos Cisco e Juniper envelhecidos sem programas formais de gestão de firmware. Estes ISPs são alvos de interesse para atores de ameaça que buscam acesso persistente a grandes volumes de tráfego. **Baixa adoção de controles de integridade de firmware:** A maioria das organizações brasileiras que operam dispositivos de rede não realiza verificação periódica de integridade de firmware nem monitoram alterações de configuração de boot - lacunas que criam jánelas de oportunidade para esta técnica. **Setor de energia e infraestrutura crítica:** Empresas do setor elétrico, petróleo e gás utilizam redes industriais (OT/ICS) com dispositivos de rede especializados. Comprometimento de firmware nestes ambientes pode ter impacto operacional direto - além de espionagem. O CERT.br tem registrado aumento de atividade de reconhecimento contra infraestrutura crítica brasileira. **Espionagem regional e tráfego de trânsito:** Dados de tráfego que passam pelo Brasil incluem comúnicações de toda a América do Sul. Atores interessados em espionagem regional (incluindo grupos APT de origem chinesa e russa documentados operando na região) têm incentivo para comprometer dispositivos de backbone como ponto de coleta de inteligência. ## Referências - Técnica pai: [[t1601-modify-system-image|T1601 - Modify System Image]] - Sub-técnica relacionada: [[t1601-002-downgrade-system-image|T1601.002 - Downgrade System Image]] - Técnicas de persistência: [[t1542-004-rommonkit|T1542.004 - ROMMONkit]], [[t1542-005-tftp-boot|T1542.005 - TFTP Boot]] - Capacidades introduzidas: [[t1056-001-keylogging|T1056.001 - Keylogging]], [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]], [[t1205-001-port-knocking|T1205.001 - Port Knocking]] - Defesas degradadas: [[t1600-weaken-encryption|T1600 - Weaken Encryption]], [[t1599-network-boundary-bridging|T1599 - Network Boundary Bridging]] - Mitigações: [[m1046-boot-integrity|M1046 - Boot Integrity]], [[m1045-code-signing|M1045 - Code Signing]] - Software associado: [[s0519-synful-knock|SYNful Knock]] --- *Fonte: MITRE ATT&CK - T1601.001*