det0524-traffic-signaling-port-knock-magic-packet-firewall-or-service-activation

# DET0524 — Traffic Signaling (Port-knock / magic-packet → firewall or service activation) – T1205 ## Descrição O sinalização de tráfego ([[t1205-traffic-signaling|T1205 — Traffic Signaling]]) é uma técnica de C2 furtiva onde adversários utilizam pacotes de rede especialmente construídos para ativar ou desativar serviços, abrir portas no firewall ou acordar backdoors dormentes sem estabelecer conexões TCP completas visíveis em logs de auditoria padrão. O port-knocking envolve sequências específicas de conexões a portas fechadas que, quando detectadas pelo daemon monitor, ativam uma regra de firewall permitindo acesso. Magic packets (como Wake-on-LAN modificados) podem ativar serviços específicos em sistemas aparentemente inativos. Esta técnica é particularmente difícil de detectar porque os pacotes de sinalização são tipicamente descartados pelo firewall sem gerar logs de conexão bem-sucedida — apenas pacotes negados ou half-open aparecem nos logs de rede. Backdoors como [[s1187-regeorg|ReGeorg]] e implantes de APTs como [[g0096-apt41|APT41]] implementam mecanismos de traffic signaling para manter acesso sem criar conexões C2 persistentes detectáveis. A detecção requer captura de tráfego completa (packet capture) e análise de padrões em pacotes descartados pelo firewall. A análise comportamental deve identificar sequências de tentativas de conexão a portas fechadas em ordem específica originadas do mesmo IP, especialmente quando seguidas de mudança no comportamento do firewall ou aparecimento de novos processos em escuta. O monitoramento de regras de iptables/nftables em sistemas Linux e de logs de Windows Firewall para mudanças dinâmicas durante operação normal é um componente essencial desta estratégia. ## Indicadores de Detecção - Sequências de conexões TCP/UDP a portas fechadas em ordem específica do mesmo IP de origem (port-knocking) - Pacotes com payload incomum em portas tipicamente silenciosas (ICMP com dados não-padrão, UDP em portas altas) - Mudança dinâmica em regras de firewall (`iptables`, `nftables`, Windows Firewall) sem ação administrativa - Processo que estava inativo iniciando escuta em porta após recebimento de tráfego específico - Wake-on-LAN ou pacotes Ethernet com destino broadcast e payload fora do padrão IEEE - Logs de pacotes descartados com padrão temporal regular (heartbeat de sinalização periódica) ## Técnicas Relacionadas - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] — técnica principal coberta por esta estratégia - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] — comunicação C2 via protocolos legítimos - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] — encapsulamento de tráfego C2 em protocolos legítimos - [[t1090-proxy|T1090 — Proxy]] — uso de proxies para ofuscar origem do tráfego C2 - [[t1102-web-service|T1102 — Web Service]] — técnica alternativa de C2 via serviços web legítimos ## Analytics Relacionadas - [[an1448-analytic-1448|AN1448 — Analytic 1448]] - [[an1449-analytic-1449|AN1449 — Analytic 1449]] - [[an1450-analytic-1450|AN1450 — Analytic 1450]] - [[an1451-analytic-1451|AN1451 — Analytic 1451]] --- *Fonte: [MITRE ATT&CK — DET0524](https://attack.mitre.org/detectionstrategies/DET0524)*