det0302-port-knock-ruledaemon-change-first-successful-connect-t1205001

# DET0302 — Port-knock → rule/daemon change → first successful connect (T1205.001) ## Descrição Esta estratégia detecta o uso de port knocking como mecanismo de tráfego signaling para ativar serviços ocultos ou abrir portas de firewall sob demanda, correspondente à sub-técnica `T1205.001`. O port knocking permite que adversários mantenham backdoors em um estado "invisível" (porta fechada/sem resposta) até que uma sequência específica de conexões em portas predeterminadas ative temporariamente o acesso, tornando o serviço invisível a port scans convencionais. A cadeia de detecção foca em três eventos correlacionados: uma sequência de tentativas de conexão TCP/UDP em múltiplas portas distintas de um único IP de origem (o "knock"), seguida de modificação em regras de firewall (iptables, nftables, Windows Firewall) ou início de um daemon anteriormente inativo, e finalmente uma conexão bem-sucedida na porta que estava fechada. Ferramentas como `knockd` e implementações customizadas de knock daemon são os vetores mais comuns. A detecção requer correlação temporal de eventos de rede com eventos de sistema: logs de netfilter/iptables, eventos de criação de processo e mudanças em regras de firewall. Ambientes Linux com servidores expostos à internet são os alvos mais comuns desta técnica de evasão de firewall. ## Indicadores de Detecção - Sequência de conexões TCP/UDP recusadas (RST ou timeout) em 3+ portas distintas do mesmo IP em < 10 segundos - Modificação de regra iptables/nftables adicionando ACCEPT para porta específica imediatamente após sequência de knock - Início de serviço (daemon) que estava parado, correlacionado temporalmente com tráfego de knock - Conexão bem-sucedida em porta que estava fechada nos últimos 60 segundos - Configuração de `knockd` ou ferramenta equivalente encontrada em sistema (arquivo de configuração com sequências) - Padrão de acesso: múltiplas portas em ordem específica de IP externo não listado em allowlist ## Técnicas Relacionadas - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1021-remote-services|T1021 — Remote Services]] ## Analytics Relacionadas - [[an0842-analytic-0842|AN0842 — Analytic 0842]] - [[an0843-analytic-0843|AN0843 — Analytic 0843]] - [[an0844-analytic-0844|AN0844 — Analytic 0844]] - [[an0845-analytic-0845|AN0845 — Analytic 0845]] --- *Fonte: [MITRE ATT&CK — DET0302](https://attack.mitre.org/detectionstrategies/DET0302)*