# AN1451 — Analytic 1451 ## Descrição Detecta padrões de "SYNful knock" direcionados a roteadores e switches, onde a mesma origem acessa endereços de interface/broadcast/rede na mesma porta em curto intervalo, seguido por habilitação de ACL/telnet/SSH ou alteração de módulo do dispositivo. A telemetria inclui logs de syslog de dispositivos de rede, eventos de alteração de imagem/ACL e sessões de gerenciamento novas subsequentes. Esta analítica é importante para detectar implantes de firmware em dispositivos de rede — como o malware SYNful Knock documentado pela Mandiant — que são ativados remotamente e podem persistir através de reinicializações do equipamento. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1451](https://attack.mitre.org/detectionstrategies/DET0524#AN1451)*