# AN1449 — Analytic 1449 ## Descrição Detecta sequências de port knocking em Linux, onde uma sequência de conexões a portas fechadas de um IP remoto é seguida por alteração de regras de firewall (iptables/nftables) ou início de daemon em escuta, e uma conexão TCP/UDP bem-sucedida. A telemetria inclui logs do kernel via auditd, eventos de criação de sockets, alterações de regras iptables e, opcionalmente, detecção de sniffers libpcap/raw-socket que monitoram o tráfego em busca de valores secretos. Esta analítica é importante para identificar backdoors que utilizam sinalização de tráfego para permanecer ocultos em servidores Linux comprometidos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1449](https://attack.mitre.org/detectionstrategies/DET0524#AN1449)*