# AN0634 — Analytic 0634 ## Descrição Este analítico detecta daemons ou processos de usuário incomuns que fazem bind ou escutam em portas fora dos intervalos padrão, ou iniciam conexões de cliente usando combinações incompatíveis de protocolo e porta no Linux. A telemetria inclui monitoramento de sockets de rede via `/proc/net/tcp`, `/proc/net/udp` com correlação de PID do processo, logs de `auditd` para chamadas de sistema `bind()` e `connect()` com verificação de porta e tipo de socket, e alertas de NIDS para incompatibilidade protocolo-porta em tráfego capturado. Essa detecção é relevante em servidores Linux onde perfis de rede são bem definidos, tornando qualquer daemon ou processo de usuário que utilize portas não autorizadas facilmente identificável como anômalo e potencialmente malicioso. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0634](https://attack.mitre.org/detectionstrategies/DET0227#AN0634)*