# AN0844 — Analytic 0844 ## Descrição Esta analítica detecta port knocking em macOS: uma fonte executa uma sequência de portas fechadas, o endpoint habilita uma regra PF/socketfilterfw ou um processo em background vincula uma porta, e então uma conexão bem-sucedida é completada pela mesma fonte. A telemetria utilizada inclui o Unified Log do macOS monitorando alterações no PacketFilter (PF) e no Application Firewall, além de eventos de criação de sockets pelo EndpointSecurity Framework. Esta detecção identifica backdoors macOS que utilizam port knocking para permanecer indetectáveis em scans de rede, uma técnica observada em campanhas APT direcionadas a executivos e desenvolvedores que usam dispositivos Apple. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1205-001-port-knocking|T1205.001 — Port Knocking]] - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0844](https://attack.mitre.org/detectionstrategies/DET0302#AN0844)*