# AN0463 — Analytic 0463 ## Descrição Detecta processo que cria um raw/packet socket e anexa filtro (e)BPF (`setsockopt SO_ATTACH_FILTER/ATTACH_BPF` ou `bpf(BPF_PROG_LOAD)`) e, imediatamente após um pacote de entrada correspondente, o mesmo processo se conecta para fora para um host remoto (reverse shell ou beacon). A telemetria necessária inclui auditd com rastreamento de syscalls de socket e chamadas BPF, eBPF-based EDR (Falco, Tetragon) para monitorar criação de filtros BPF e correlação de eventos de rede de entrada e saída pelo mesmo processo PID. Essa detecção é crítica em servidores Linux porque implantes baseados em eBPF/traffic signaling são extremamente furtivos — o backdoor permanece completamente inativo e invisível até receber o pacote de ativação correto, tornando-o difícil de detectar por varreduras de porta ou análise de tráfego passiva. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1205-001-traffic-signaling-port-knocking|T1205.001 — Port Knocking]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0463](https://attack.mitre.org/detectionstrategies/DET0162#AN0463)*