# AN0845 — Analytic 0845 ## Descrição Esta analítica detecta port knocking em dispositivos de rede (roteadores/switches): a mesma fonte toca padrões específicos nos endereços únicast, broadcast e network-address do dispositivo em portas iguais ou escalonadas, seguido de habilitação de ACL/line-vty/serviço e o primeiro sucesso de sessão de gerenciamento. A telemetria utilizada inclui logs AAA do dispositivo (RADIUS/TACACS+) e logs de fluxo de rede (NetFlow/sFlow) para correlacionar o padrão de knock com ativações de acesso gerencial subsequentes. Esta detecção é crítica para identificar backdoors pré-instalados em equipamentos de rede de telecomúnicações, um vetor documentado em operações de espionagem por atores estatais contra infraestrutura de ISPs na América Latina. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1205-001-port-knocking|T1205.001 — Port Knocking]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0845](https://attack.mitre.org/detectionstrategies/DET0302#AN0845)*