# T1601 - Modify System Image ## Sub-técnicas - [[t1601-001-patch-system-image|T1601.001 - Patch System Image]] - [[t1601-002-downgrade-system-image|T1601.002 - Downgrade System Image]] ## Descrição Adversários podem realizar alterações no sistema operacional de dispositivos de rede embarcados com o objetivo de enfraquecer as defesas existentes e introduzir novas capacidades operacionais. Em roteadores, switches e firewalls empresariais, o sistema operacional costuma ser monolítico - toda a funcionalidade do dispositivo está concentrada em um único arquivo de imagem de firmware. Isso significa que basta comprometer esse arquivo para obter controle total sobre o comportamento do equipamento. A modificação pode ocorrer de duas formas principais: em tempo de execução, alterando a imagem diretamente na memória RAM para efeito imediato sem reinicialização; ou em armazenamento persistente (flash, NVRAM), garantindo que a modificação sobreviva a reboots. Essa técnica é especialmente relevante em ambientes corporativos e de infraestrutura crítica onde dispositivos de rede como roteadores Cisco IOS ou Juniper Junos operam como pontos centrais de comunicação. O alto impacto desta técnica está na invisibilidade: uma imagem de firmware comprometida pode desabilitar logging, criar canais de acesso ocultos, remover mecanismos de autenticação ou até alterar o comportamento do roteamento de pacotes. Grupos APT patrocinados por estados-nação frequentemente exploram essa técnica para persistência de longo prazo em redes de alto valor, especialmente em contextos de espionagem de infraestrutura crítica. ## Como Funciona O ataque normalmente começa com a obtenção de acesso privilegiado ao dispositivo - via credenciais roubadas, exploração de vulnerabilidades no painel de gerenciamento, ou acesso físico. Com privilégios de administrador ou equivalente, o adversário pode: 1. **Patch em memória (runtime):** utilizar comandos de depuração avançada ou interfaces proprietárias do sistema operacional do dispositivo para escrever diretamente em endereços de memória que contêm o código do SO em execução. A modificação é imediata mas volátil - não persiste após reboot sem ação adicional. 2. **Modificação do armazenamento persistente:** sobrescrever a imagem de firmware na memória flash ou NVRAM do dispositivo com uma versão adulterada. O adversário pode fazer download de uma imagem legítima, modificá-la localmente (inserindo backdoors, removendo verificações de integridade) e depois fazer upload via TFTP, SCP ou interface web de gerenciamento. 3. **Downgrade proposital:** substituir o firmware atual por uma versão mais antiga que contenha vulnerabilidades conhecidas e CVEs documentados, revertendo patches de segurança aplicados pelo fabricante. A verificação de integridade via hash (MD5, SHA) pode ser contornada se o adversário também comprometer o mecanismo de verificação ou se o dispositivo não implementar Secure Boot. Em muitos dispositivos legados, não há verificação criptográfica da imagem durante o boot. ## Attack Flow ```mermaid graph TB A[Reconhecimento de dispositivos de rede] --> B[Obtenção de acesso privilegiado] B --> C{Método de modificação} C --> D[Patch em memória RAM<br/>Efeito imediato, volátil] C --> E[Modificação do firmware<br/>em armazenamento persistente] C --> F[Downgrade para versão<br/>vulnerável conhecida] D --> G[Backdoor ativo sem reboot] E --> H[Persistência entre reboots] F --> I[Exploração de CVE reabilitado] G --> J[Evasão de detecção] H --> J I --> J J --> K[Acesso permanente à infraestrutura<br/>Exfiltração, pivotamento, sabotagem] ``` ## Exemplos de Uso **SYNful Knock (2015):** Operação documentada pela Mandiant onde adversários comprometeram roteadores Cisco em múltiplos países implantando uma imagem IOS modificada com backdoor persistente. O malware sobrevivia a reboots e permitia acesso remoto encoberto. Afetou roteadores no México e em outros países da América Latina. **Grupos APT patrocinados por estados:** Grupos como [[g1017-volt-typhoon|Volt Typhoon]] (China) têm sido documentados explorando dispositivos de borda de rede - incluindo roteadores e firewalls SOHO - como plataformas de pivotamento. Embora nem sempre modifiquem o firmware diretamente, o modus operandi frequentemente inclui abuso de funcionalidades nativas do sistema operacional do dispositivo para persistência. **Operações de espionagem em infraestrutura crítica:** Atacantes associados a grupos como [[g0035-dragonfly|Dragonfly]] (também conhecido como Energetic Bear) têm como alvo dispositivos de rede em setores de energia e manufatura, onde o tempo de uptime e a resistência a interrupções tornam a modificação de firmware uma opção atraente para persistência de longo prazo. ## Detecção ```yaml title: Detecção - Modificação de Imagem de Sistema em Dispositivos de Rede status: experimental logsource: category: network-device product: cisco-ios detection: selection_upload: EventType: "configuration-change" CommandExecuted|contains: - "copy tftp flash" - "copy scp: flash:" - "copy http: flash:" - "archive download-sw" selection_downgrade: EventType: "version-change" OldVersion|gt: NewVersion selection_memory_write: EventType: "debug-command" CommandExecuted|contains: - "write memory" - "copy run" - "reload in" condition: selection_upload or selection_downgrade or selection_memory_write level: high ``` > Complementar com monitoramento de integridade via ROMMON, Cisco Trust Anchor (TAm) ou verificação periódica de hash da imagem ativa contra baseline conhecida e assinada pelo fabricante. ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1046 | [[m1046-boot-integrity\|M1046 - Boot Integrity]] | Habilitar Secure Boot e verificação criptográfica de firmware no boot do dispositivo; usar recursos como Cisco Trust Anchor Module (TAm) | | M1045 | [[m1045-code-signing\|M1045 - Code Signing]] | Aceitar apenas imagens de firmware assinadas digitalmente pelo fabricante; rejeitar imagens sem assinatura válida | | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Restringir rigorosamente contas com privilégios de acesso ao gerenciamento de firmware; usar contas separadas para operações rotineiras | | M1032 | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | Exigir MFA para acesso à interface de gerenciamento de dispositivos de rede (SSH, console, web GUI) | | M1027 | [[m1027-password-policies\|M1027 - Password Policies]] | Implementar senhas fortes e rotação periódica para credenciais de administração de dispositivos; banir senhas padrão de fábrica | | M1043 | [[m1043-credential-access-protection\|M1043 - Credential Access Protection]] | Proteger credenciais de acesso a dispositivos de rede; usar cofres de senhas e evitar armazenamento em texto plano em scripts ou configurações | ## Contexto Brasil/LATAM A modificação de imagem de sistema em dispositivos de rede é uma ameaça especialmente relevante para o Brasil e a América Latina dado o parque tecnológico predominante: muitas organizações governamentais, empresas de telecomúnicações e operadoras de infraestrutura crítica operam roteadores e switches com décadas de vida útil, frequentemente sem suporte de atualizações de firmware pelo fabricante. O setor de telecomúnicações brasileiro - composto por grandes operadoras como Claro, Vivo, TIM e Oi - representa um alvo de alto valor para adversários que buscam acesso persistente à infraestrutura de rede nacional. Uma imagem comprometida em um roteador de borda de ISP pode expor tráfego de milhões de usuários. Incidentes com dispositivos Cisco e MikroTik comprometidos têm sido documentados em redes latino-americanas, frequentemente associados a grupos de cibercrime que utilizam os dispositivos como nós de botnet ou proxies para operações de fraude financeira. A [[t1601-002-downgrade-system-image|operação de downgrade]] é particularmente comum, pois versões antigas de IOS e RouterOS possuem CVEs públicos com exploits disponíveis que facilitam a recompromissão. Organizações críticas no Brasil devem priorizar inventário de versões de firmware, implementação de Secure Boot onde disponível, e monitoramento ativo de uploads para memória flash de dispositivos de rede. ## Referências - [[t1601-001-patch-system-image|T1601.001 - Patch System Image]] - [[t1601-002-downgrade-system-image|T1601.002 - Downgrade System Image]] - [[m1046-boot-integrity|M1046 - Boot Integrity]] - [[m1045-code-signing|M1045 - Code Signing]] - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - [[g0035-dragonfly|Dragonfly]] - [[g1017-volt-typhoon|Volt Typhoon]] - [[t1542-pre-os-boot|T1542 - Pre-OS Boot]] - [[t1600-weaken-encryption|T1600 - Weaken Encryption]] *Fonte: MITRE ATT&CK - T1601*