# AN0843 — Analytic 0843 ## Descrição Esta analítica detecta port knocking em Linux: uma fonte executa uma sequência curta de portas fechadas e então o host modifica regras iptables/nftables/ufw ou inicia um daemon vinculando um novo socket, seguido de uma conexão bem-sucedida da mesma fonte. A telemetria utilizada inclui logs de firewall Linux (iptables/nftables), eventos auditd para modificações de regras de firewall e logs de serviços systemd monitorando a ativação de novos sockets. Esta detecção é relevante para identificar implantes em servidores Linux que permanecem inativos até receberem o sinal de ativação correto, uma técnica comum em APTs que comprometem servidores de hosting e provedores de serviço no Brasil. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1205-001-port-knocking|T1205.001 — Port Knocking]] - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0843](https://attack.mitre.org/detectionstrategies/DET0302#AN0843)*