det0227-detection-strategy-for-non-standard-ports

# DET0227 — Detection Strategy for Non-Standard Ports ## Descrição Esta estratégia detecta comúnicações C2 que utilizam portas não padrão para protocolos conhecidos, técnica usada para evadir firewalls e proxies que inspecionam apenas portas convencionais. Por exemplo, tráfego HTTP na porta 8080 ou 4444, ou HTTPS na porta 8443 pode indicar C2 disfarçado de tráfego legítimo. Adversários escolhem portas alternativas por dois motivos: (1) evitar inspeção de conteúdo por firewalls de próxima geração que inspecionam apenas portas padrão, e (2) usar portas altas efêmeras que frequentemente são menos monitoradas. Frameworks C2 como Cobalt Strike, Metasploit e customizados frequentemente usam portas como 4444, 8080, 1234, 31337. A telemetria requer análise de netflow/firewall logs com inventário de portas utilizadas por aplicações legítimas, correlação de processo com conexão de rede (Sysmon Event ID 3), e alertas para processos de sistema que conectam a portas não padrão. ## Indicadores de Detecção - Processo de sistema (`svchost.exe`, `explorer.exe`) conectando a porta não associada à sua função - Tráfego HTTP/HTTPS detectado em portas além de 80/443/8080/8443 sem justificativa de negócio - Portas altas (>49152) usadas para conexões de saída persistentes com padrão de beaconing - Serviço ouvindo em porta incomum sem correspondência em baseline aprovado de serviços - Conexão de saída para IP externo em porta associada a protocolos de controle (Telnet/23, RDP/3389) de workstation - Volume de dados transmitido em porta não padrão disproportional ao histórico do processo ## Técnicas Relacionadas - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1090-proxy|T1090 — Proxy]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] ## Analytics Relacionadas - [[an0633-analytic-0633|AN0633 — Analytic 0633]] - [[an0634-analytic-0634|AN0634 — Analytic 0634]] - [[an0635-analytic-0635|AN0635 — Analytic 0635]] - [[an0636-analytic-0636|AN0636 — Analytic 0636]] --- *Fonte: [MITRE ATT&CK — DET0227](https://attack.mitre.org/detectionstrategies/DET0227)*