det0162-socket-filter-trigger-on-host-raw-socket-activity-reverse-connection-t12

# DET0162 — Socket-filter trigger → on-host raw-socket activity → reverse connection (T1205.002) ## Descrição Esta estratégia detecta o uso de socket filters como mecanismo de traffic signaling para ativar backdoors — mapeado em [[t1205-002-socket-filters|T1205.002 - Socket Filters]]. Adversários instalam filtros de pacotes no kernel (via BPF/libpcap ou equivalentes) para monitorar tráfego de rede em busca de um "knock" especial, ativando uma reverse shell ou payload apenas quando o sinal correto chega, permanecendo invisíveis ao restante do tempo. Os indicadores primários incluem criação de sockets RAW por processos não-privilegiados, chamadas a `setsockopt(SO_ATTACH_FILTER)` ou `SO_ATTACH_BPF` fora de ferramentas de diagnóstico legítimas, e estabelecimento de conexões de saída imediatamente após recepção de pacotes especialmente crafted. A telemetria requerida abrange syscall auditing (auditd/eBPF), logs de processo e monitoramento de conexões de rede. O comportamento encadeado é crítico: o socket filter em si não é malicioso, mas a cadeia *filter instalado → pacote especial recebido → nova conexão outbound* para um IP externo é altamente suspeita. Correlacionar eventos de criação de socket raw com eventos de rede subsequentes em janelas de tempo curtas aumenta a fidelidade da detecção. ## Indicadores de Detecção - Processo não-root/não-diagnóstico criando socket `AF_PACKET` ou `SOCK_RAW` - Chamada `setsockopt(SO_ATTACH_FILTER)` ou `SO_ATTACH_BPF` por processo inesperado - Reverse shell ou conexão outbound surgindo imediatamente após tráfego inbound incomum - BPF program carregado por processo que não é `tcpdump`, `Wireshark`, `ss` ou similar - Processo em escuta em porta baixa sem binding explícito, processando tráfego raw ## Técnicas Relacionadas - [[t1205-002-socket-filters|T1205.002 - Socket Filters]] — técnica principal detectada - [[t1059-command-and-scripting-interpreter]] — execução após ativação do knock - [[t1571-non-standard-port|T1571 - Non-Standard Port]] — reverse connection frequentemente usa portas atípicas - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] — comunicação raw socket ## Analytics Relacionadas - [[an0462-analytic-0462|AN0462 — Analytic 0462]] - [[an0463-analytic-0463|AN0463 — Analytic 0463]] - [[an0464-analytic-0464|AN0464 — Analytic 0464]] --- *Fonte: [MITRE ATT&CK — DET0162](https://attack.mitre.org/detectionstrategies/DET0162)*