# AN1450 — Analytic 1450 ## Descrição Detecta sequências de port knocking em macOS, onde uma sequência de falhas de conexão remota é seguida por atualização de regra PF/socketfilterfw ou início de processo em escuta em nova porta, e então uma sessão TCP bem-sucedida. A telemetria utiliza logs do firewall de aplicação macOS (socketfilterfw), Unified Logs do sistema e detecção de pacotes mágicos WoL (Wake-on-LAN) no segmento local. Esta analítica é relevante para identificar backdoors ocultos em estações de trabalho macOS que usam sinalização de tráfego para ativação remota sob demanda. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1450](https://attack.mitre.org/detectionstrategies/DET0524#AN1450)*