# AN0842 — Analytic 0842 ## Descrição Esta analítica detecta port knocking em Windows: uma fonte remota toca rapidamente uma sequência de portas fechadas (SYN→RST/S0) no host e, dentro de uma janela curta, o host altera o estado do firewall (regra WFP adicionada/modificada ou serviço começa a escutar) e então a mesma fonte completa o primeiro handshake bem-sucedido na porta recém-aberta. A telemetria utilizada inclui logs do Windows Filtering Platform (WFP), Sysmon (Event ID 3, conexões de rede) e logs de firewall do Windows para correlacionar a sequência de knock com a mudança de estado do firewall. Esta detecção é importante para identificar backdoors que usam port knocking como mecanismo de ativação furtiva, dificultando a descoberta de serviços C2 por scanners de rede convencionais. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1205-001-port-knocking|T1205.001 — Port Knocking]] - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0842](https://attack.mitre.org/detectionstrategies/DET0302#AN0842)*