# AN0462 — Analytic 0462 ## Descrição Detecta adversários instalando/usando capacidade de captura de pacotes ou raw socket (WinPcap/Npcap, DLLs wpcap/packet ou attach de raw socket) que configuram um filtro, observam um pacote de entrada criado e, dentro de uma curta janela, o processo host que carregou bibliotecas de captura inicia uma conexão de saída (ex: reverse shell) para a origem do pacote. A telemetria necessária inclui Sysmon para carregamento de módulo (Event ID 7) de bibliotecas de captura de pacotes, eventos de criação de processos com privilégios de raw socket e análise de correlação de tráfego de rede entre pacotes de entrada e conexões de saída do mesmo processo. Essa detecção identifica implantes baseados em traffic signaling (port knocking avançado) utilizados por grupos APT para manter backdoors que só ativam com estímulos de rede específicos, tornando-os invisíveis em escaneamentos passivos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1205-001-traffic-signaling-port-knocking|T1205.001 — Port Knocking]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-003-command-and-scripting-interpreter-windows-command-shell|T1059.003 — Windows Command Shell]] --- *Fonte: [MITRE ATT&CK — AN0462](https://attack.mitre.org/detectionstrategies/DET0162#AN0462)*