# T1205 - Traffic Signaling ## Descrição *Traffic Signaling* é uma técnica de evasão em que adversários utilizam um valor mágico (*magic value*) ou sequência específica de pacotes de rede para ativar funcionalidades ocultas em sistemas comprometidos - como abrir portas fechadas, ativar backdoors adormecidos ou reconfigurar implantes de malware. A técnica permite que serviços maliciosos permaneçam invisíveis durante a maior parte do tempo, respondendo apenas a sinalizações pré-combinadas. A principal vantagem para o adversário é a **persistência silenciosa**: o backdoor não escuta ativamente em uma porta aberta (o que seria facilmente detectado por scanners de rede), mas aguarda um sinal específico para se revelar. Sem conhecer a sequência ou o valor mágico correto, ferramentas de varredura e defensores não identificam o serviço malicioso. As variações da técnica incluem: - **Port knocking:** envio de uma sequência de tentativas de conexão a portas fechadas em ordem predeterminada - **Magic packet:** envio de um único pacote com conteúdo específico (ex.: Wake-on-LAN, ou strings customizadas em payloads UDP/TCP) - **Socket filters em modo promíscuo:** o implante captura tráfego de rede via `libpcap` ou raw sockets sem estar associado a nenhuma porta visível - **Wake-on-LAN:** uso do recurso de hardware para ligar sistemas desligados e transformá-los em alvos de movimentação lateral ## Sub-técnicas - [[t1205-001-port-knocking|T1205.001 - Port Knocking]] - [[t1205-002-socket-filters|T1205.002 - Socket Filters]] ## Como Funciona A técnica opera em dois modos principais - baseado em sequência de portas e baseado em conteúdo de pacote: **Modo 1 - Port Knocking:** O implante registra tentativas de conexão a um conjunto de portas pré-definidas. Quando recebe conexões às portas corretas na ordem correta (ex.: 7000 → 8000 → 9000), o daemon de port knocking modifica as regras do firewall local (`iptables`, `nftables`, `pf`) para abrir temporariamente a porta do serviço de C2. Após um timeout, a porta é fechada novamente. **Modo 2 - Magic Packet / Socket Filter:** O implante opera em modo promíscuo usando `libpcap` ou raw sockets para capturar todo o tráfego de rede da interface. Ao identificar um pacote com conteúdo específico (string embutida, hash, sequência de bytes), o malware executa uma ação: abrir porta, iniciar shell reversa, atualizar configuração de C2, ou modificar suas próprias capacidades. Esse modo é especialmente difícil de detectar porque não há portas abertas nem conexões de saída em estado de escuta. **Modo 3 - Dispositivos de Rede (Network Devices):** Em roteadores e switches comprometidos, o adversário modifica a imagem do sistema via [[t1601-001-patch-system-image|Patch System Image]] para habilitar Traffic Signaling. Pacotes especialmente criados enviados à interface de gerenciamento (ou à rede broadcast) podem reativar serviços desabilitados como Telnet ou executar comandos arbitrários no dispositivo. **Modo 4 - Wake-on-LAN:** O adversário envia um magic packet de Wake-on-LAN para o endereço MAC de um sistema desligado previamente comprometido. O sistema liga automaticamente e, ao inicializar, ativa o backdoor ou implante instalado, tornando-se disponível para movimento lateral ou exfiltração. ## Attack Flow ```mermaid graph TB A["Acesso inicial ao alvo<br/>(ex: exploração de CVE, phishing)"] --> B["Instalação do implante<br/>com Traffic Signaling embutido"] B --> C{"Modo de operação"} C --> D["Port Knocking<br/>Sequência de portas fechadas"] C --> E["Socket Filter / libpcap<br/>Captura passiva sem porta aberta"] C --> F["Wake-on-LAN<br/>Magic packet para ligar sistema"] C --> G["Network Device<br/>Patch System Image + sinal crafted"] D --> H["Firewall local modificado<br/>Porta de C2 aberta temporariamente"] E --> I["Payload recebido em modo promíscuo<br/>Ação executada sem porta visível"] F --> J["Sistema ligado remotamente<br/>Backdoor ativado na inicialização"] G --> K["Serviço de rede reativado<br/>Telnet / shell habilitado no dispositivo"] H --> L["Conexão C2 estabelecida<br/>Persistência oculta mantida"] I --> L J --> L K --> L ``` ## Exemplos de Uso **UNC3886 (China-nexus):** O grupo [[g1048-unc3886|UNC3886]], documentado pela Mandiant em ataques a infraestruturas críticas, utiliza o malware [[s1114-zipline|ZIPLINE]] - um backdoor passivo que emprega Traffic Signaling via socket filters. O ZIPLINE captura tráfego da rede usando raw sockets e aguarda pacotes com valores mágicos embutidos para estabelecer canais de C2 criptografados, sem nunca abrir portas visíveis a scanners externos. **Mustang Panda:** O grupo [[g0129-mustang-panda|Mustang Panda]], associado a campanhas de espionagem contra governos do Sudeste Asiático e América do Sul, utiliza malware com capacidades de port knocking para manter persistência furtiva em redes comprometidas. O mecanismo permite que o implante permaneça inativo durante verificações de segurança e ativo apenas quando o operador envia a sequência correta. **Kimsuky (Coreia do Norte):** [[g0094-kimsuky|Kimsuky]] emprega variantes de backdoors com magic packet para ativação remota em sistemas de alvos estratégicos sul-coreanos, jáponeses e ocidentais. A técnica complementa outras táticas de persistência do grupo. **SYNful Knock:** O [[s0519-synful-knock|SYNful Knock]] é um implante documentado que substitui a imagem de firmware de roteadores Cisco. Ele monitora pacotes TCP SYN especialmente criados e, ao receber a sequência correta, abre um acesso de shell ao dispositivo de rede - sem qualquer porta visível externamente. É um exemplo clássico da variante para dispositivos de rede. **Ryuk Ransomware:** O grupo por trás do [[s0446-ryuk|Ryuk]] utiliza Wake-on-LAN para ligar estações de trabalho desligadas antes de propagar o ransomware pela rede, maximizando o alcance da criptografia em ambientes onde muitos sistemas ficam desligados fora do horário comercial. **Penquin / Turla:** O [[s0587-penquin|Penquin]] (associado ao grupo Turla) é um backdoor Linux que utiliza `libpcap` para capturar pacotes ICMP e TCP, aguardando valores mágicos específicos. Ao receber o sinal correto, abre um shell reverso sem nunca ter uma porta em estado de LISTEN. ## Detecção ### Estrategia principal Detectar Traffic Signaling é desafiador precisamente porque o design da técnica evita a presença de portas abertas. A detecção requer análise de comportamento de processos, inspeção de tráfego de rede em camada profunda e monitoramento de modificações em regras de firewall. **Indicadores comportamentais:** - Processos em modo promíscuo (`promisc`) na interface de rede sem justificativa legítima (ex.: tcpdump, wireshark não instalados, mas processo usando `libpcap`) - Abertura súbita de portas após sequência de tentativas de conexão rejeitadas (assinatura de port knocking) - Modificações automáticas em regras `iptables`/`nftables` por processos não autorizados - Tráfego Wake-on-LAN (broadcast UDP porta 9, magic packet com padrão FF:FF:FF:FF:FF:FF) fora de jánelas de manutenção - Processos usando raw sockets (`SOCK_RAW`) sem necessidade operacional documentada **Análise de tráfego de rede:** - Monitorar sequências de pacotes para portas fechadas (múltiplos RST/ICMP unreachable para o mesmo destino em sequência) - Inspecionar payloads de pacotes ICMP, UDP e TCP em busca de padrões incomuns ou dados embutidos fora do payload esperado - Alertar sobre variações súbitas no comportamento de firewall após conexões rejeitadas ```yaml title: Processo Linux em Modo Promíscuo Suspeito status: experimental description: > Detecta processos que habilitam modo promíscuo em interface de rede sem correspondência com ferramentas legítimas de monitoramento, indicativo de T1205 via socket filter / libpcap sniffing. logsource: category: process_creation product: linux detection: selection_promisc: CommandLine|contains: - 'PROMISC' - 'IFF_PROMISC' - 'pcap_open_live' selection_not_legit: Image|endswith: - '/tcpdump' - '/wireshark' - '/tshark' - '/zeek' condition: selection_promisc and not selection_not_legit falsepositives: - Agentes de monitoramento de rede legítimos - Scripts de diagnóstico autorizados level: high tags: - attack.defense_evasion - attack.command_and_control - attack.t1205 - attack.t1205.002 ``` ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1037 | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Implementar regras de firewall de rede que bloqueiem pacotes malformados, sequências de port knocking conhecidas e tráfego Wake-on-LAN não autorizado. Utilizar sistemas IDS/IPS para identificar padrões de traffic signaling em redes corporativas. Em dispositivos de rede, garantir que apenas tráfego de gerenciamento legítimo e autenticado sejá aceito nas interfaces de controle. | | M1042 | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Desabilitar funcionalidades não necessárias como Wake-on-LAN em estações de trabalho onde não há necessidade operacional. Remover ou restringir o acesso a `libpcap` e ferramentas de captura de pacotes em servidores e endpoints que não necessitam delas. Em dispositivos de rede, desabilitar serviços legados como Telnet que podem ser reativados via traffic signaling. | > [!warning] Desafio de detecção > Traffic Signaling é uma das técnicas de persistência mais difíceis de detectar por varredura ativa. Scanners de porta convencionais não identificam portas ativadas temporariamente por port knocking, e implantes com socket filters passivos não aparecem em `netstat` ou `ss`. A detecção efetiva requer análise comportamental contínua e inspeção profunda de pacotes (DPI). ## Contexto Brasil/LATAM A técnica de Traffic Signaling tem sido observada em campanhas de espionagem que afetam infraestrutura crítica da América Latina, incluindo setores de energia, telecomúnicações e governo. Dispositivos de rede de fabricantes como Cisco e Juniper, amplamente utilizados em provedores de internet e operadoras de telecomúnicações brasileiras, são alvos de variantes como [[s0519-synful-knock|SYNful Knock]] que utilizam exatamente esse mecanismo. O grupo [[g1048-unc3886|UNC3886]] - vinculado a operações de espionagem chinesas - documentadamente compromete appliances de rede e sistemas VMware em campanhas globais que incluem alvos em países como Brasil, Argentina e México. O uso de [[s1114-zipline|ZIPLINE]] com Traffic Signaling é parte central do toolkit de persistência do grupo em ambientes de infraestrutura crítica. No contexto de [[_sectors|setores regulados]] no Brasil, a dificuldade de detecção de Traffic Signaling representa um risco operacional elevado: implantes podem permanecer ativos por meses ou anos em equipamentos de borda sem serem detectados por ferramentas convencionais de monitoramento. Programas de SOC que operam no Brasil devem incluir análise de comportamento de rede em camada 2 e 3 para identificar padrões de port knocking e uso anômalo de raw sockets. ## Referências - MITRE ATT&CK - T1205: Traffic Signaling - Mandiant - UNC3886 e uso de ZIPLINE com traffic signaling passivo - Análise de SYNful Knock - implante em firmware de roteadores Cisco - Documentação do projeto Cd00r - implementação original de port knocking com `libpcap` - Análise comportamental de [[s0587-penquin|Penquin]] (Turla) em ambientes Linux - Relatório Cisco Talos sobre [[s0446-ryuk|Ryuk]] e Wake-on-LAN - Análise de [[g0094-kimsuky|Kimsuky]] backdoors com magic packet - CISA AA20-301A *Fonte: MITRE ATT&CK - T1205*