# AN1448 — Analytic 1448 ## Descrição Detecta sequências de port knocking em Windows, onde um host remoto envia tentativas de conexão falhas (RST/ICMP unreachable) a uma série de portas fechadas e, em seguida, ocorre a adição de regra de firewall, início de processo de escuta ou abertura de novo socket, seguido de uma conexão bem-sucedida. A telemetria abrange logs do Windows Firewall, eventos de criação de processos (Sysmon), fluxos de rede (NetFlow) e detecção de pacotes Wake-on-LAN mágicos no segmento local. Esta analítica é relevante porque o port knocking é uma técnica de evasão usada por adversários para ocultar serviços backdoor e ativá-los somente quando necessário, dificultando a descoberta durante varreduras de rede convencionais. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1448](https://attack.mitre.org/detectionstrategies/DET0524#AN1448)*