Port Knocking: Traffic Signaling – Port Knocking (T1205.001)

Il modo più diretto per comprendere il port knocking è costruirlo in laboratorio. Il punto di partenza naturale è knockd (open source), il demone incluso nel pacchetto knock disponibile sui repository di tutte le principali distribuzioni Linux. L'installazione è banale:

sudo apt install knockd

La configurazione risiede in /etc/knockd.conf. Un setup minimale per aprire la porta SSH dopo una sequenza di tre knock si presenta così:

[openSSH]
  sequence    = 7000,8000,9000
  seq_timeout = 10
  command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  tcpflags    = syn

[closeSSH]
  sequence    = 9000,8000,7000
  seq_timeout = 10
  command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  tcpflags    = syn

Dopo aver avviato il servizio con sudo knockd -d -i eth0, il red teamer può inviare la sequenza dalla macchina attaccante usando il client knock:

knock -v <target_ip> 7000 8000 9000

In alternativa, senza installare nulla sul lato client, bastano tre chiamate rapide con nmap in modalità SYN scan:

for port in 7000 8000 9000; do nmap -Pn --max-retries 0 -p $port <target_ip>; done

Per simulare scenari più vicini al comportamento reale degli avversari, vale la pena studiare l'implementazione originale di cd00r, il cui codice sorgente è pubblicamente disponibile. A differenza di knockd, cd00r usa libpcap in modalità promiscua per sniffare i pacchetti di knock senza che il sistema operativo risponda con RST. Questo lo rende invisibile a scansioni standard: nessuna porta in LISTEN, nessun servizio visibile.

Per il red team che vuole testare la variante ICMP — come quella documentata per UNC3886 sui firewall FortiGate — si può costruire una proof-of-concept con uno script Python che utilizza la libreria scapy (open source) per inviare pacchetti ICMP con payload specifici:

sudo scapy

All'interno della shell interattiva, la sequenza si riduce a poche righe che inviano ICMP echo-request con byte pattern predefiniti nel payload. Il listener sul target può essere un semplice sniffer BPF che filtra icmp and icmp[icmptype] == 8.

Un approccio ancora più strutturato prevede l'uso di Meterpreter (open source, parte di Metasploit Framework) come implant finale, combinato con un port-knock trigger personalizzato che apre il canale solo alla ricezione della sequenza corretta. Questo simula fedelmente il pattern osservato con Mafalda e metaMain, dove il knock non apre direttamente una porta ma autentica l'implant presso un secondo componente (Cryshell), creando una catena indiretta verso il C2.

La sfida del port knocking per un SOC è che ogni singolo pacchetto della sequenza appare identico a una connessione fallita legittima. Un SYN verso una porta chiusa genera un RST — e questo succede migliaia di volte al giorno in qualsiasi rete. La detection, quindi, non può essere atomica: deve essere correlata nel tempo e multi-fase.

Il modello di rilevamento documentato (DET0302) si basa su una catena logica in tre passaggi: sequenza di knock → modifica firewall → prima connessione riuscita. Su Windows, le sorgenti log critiche sono due: Sysmon (EventCode 3 per le connessioni di rete) e il log nativo di Windows Firewall With Advanced Security. Quando un IP esterno tocca rapidamente tre o più porte chiuse distinte, genera una serie di connessioni fallite visibili in Sysmon. Se entro una finestra di 60-300 secondi lo stesso host mostra una modifica alle regole WFP (Windows Filtering Platform) seguita da un handshake completo dalla stessa sorgente, il pattern è completo.

Su Linux il focus si sposta su auditd. Le syscall chiave da monitorare sono setsockopt e bind su processi che interagiscono con iptables/nftables, correlate con i flow di rete che mostrano connessioni SYN→RST seguite da un three-way handshake riuscito. Il tuning parameter KnockTolerance definisce il tempo massimo tra un knock e il successivo nella sequenza — valori sotto i 5 secondi sono tipici delle implementazioni automatizzate.

Su macOS, l'attenzione va al Unified Log per modifiche a PF (Packet Filter) e ai file di configurazione sotto /etc/pf.conf e /etc/pf.anchors/. Su dispositivi di rete — particolarmente rilevante dato il caso UNC3886 su FortiGate — il syslog del router/switch deve essere correlato con i flow per identificare knock pattern seguiti da abilitazione di ACL o line VTY.

Per ridurre i falsi positivi, il tuning è essenziale:

• RuleChangeAllowList: escludere account e processi autorizzati a modificare il firewall (agenti di update, configuration management)
• MinSequenceLen: impostare almeno 3 porte distinte come soglia minima
• WatchedPorts: concentrarsi sulle porte ad alto rischio — 22, 23, 2323, 8022, 3389, 8080

Come controllo preventivo, la mitigazione M1037 (Filter Network Traffic) raccomanda l'uso di stateful firewall che tracciano lo stato delle connessioni. Un firewall stateful ben configurato può rendere inefficace il knock perché i pacchetti SYN verso porte chiuse non raggiungono mai il demone in ascolto. La segmentazione di rete con VLAN dedicate per sistemi critici limita ulteriormente la superficie d'attacco.

L'analisi forense del port knocking richiede un approccio retrospettivo: quando lo scopri, il canale è già attivo. Il valore dell'indagine sta nel ricostruire il momento esatto in cui il meccanismo è stato installato e nel tracciare tutte le attivazioni successive.

Su Linux — l'ambiente più comune per questa tecnica — il primo artefatto da cercare è la configurazione del demone knockd. Il file /etc/knockd.conf contiene la sequenza di porte, il timeout e il comando eseguito all'attivazione. Il timestamp di creazione e ultima modifica di questo file (via stat) stabilisce la finestra temporale dell'installazione. PROMETHIUM è documentato per aver utilizzato proprio uno script che configura il servizio knockd e le regole firewall associate, quindi la presenza di questo file è un indicatore diretto.

Le regole iptables/nftables meritano un'esportazione completa. Il comando:

sudo iptables-save > /evidence/iptables_dump.txt

cattura lo stato corrente, ma per la timeline storica serve incrociare con i log di auditd. Se auditd era configurato con regole di watch su /etc/knockd.conf e sulle modifiche a iptables, i record SYSCALL con la syscall execve che invoca iptables -A mostrano ogni singola attivazione del knock con timestamp preciso e IP sorgente (estratto dal parametro %IP% nella configurazione).

Per le varianti che usano libpcap o raw socket — come cd00r — l'artefatto principale è il binario stesso. Un processo che opera in modalità promiscua su un'interfaccia di rete lascia tracce nel file /proc/net/packet (su sistemi live) e nei log di sistema se AppArmor o SELinux sono attivi. La ricerca di binari con capacità CAP_NET_RAW tramite:

getcap -r / 2>/dev/null | grep cap_net_raw

può rivelare eseguibili anomali.

Su dispositivi di rete, il caso UNC3886 con persistenza su FortiGate tramite ICMP port knocking richiede l'analisi del firmware e dei log ICMP. L'acquisizione dei log syslog storici del firewall, correlata con i flow NetFlow/IPFIX del segmento di rete adiacente, permette di identificare pattern ICMP anomali — sequenze di echo-request con payload di dimensioni insolite o regolari da un IP specifico.

Per la ricostruzione della timeline complessiva, l'analista dovrebbe costruire una sequenza ordinata: installazione del meccanismo → prima attivazione → pattern di riattivazione → eventuali modifiche alla configurazione. Strumenti come Plaso/log2timeline (open source) possono aggregare le fonti eterogenee (file system timestamp, auditd, syslog, flow) in un'unica super-timeline filtrabile.

Il port knocking è una tecnica deliberatamente discreta, adottata da gruppi che privilegiano la persistenza silenziosa rispetto all'aggressività operativa. I due attori documentati mostrano profili e obiettivi distinti ma condividono un denominatore comune: la necessità di mantenere accesso a lungo termine su infrastrutture critiche senza essere rilevati.

PROMETHIUM (G0056) impiega il port knocking in modo classico, configurando il servizio knockd con regole firewall che accettano connessioni C2 solo dopo la ricezione della sequenza corretta. Questo approccio indica un'operatività su sistemi Linux dove il gruppo ha già ottenuto privilegi sufficienti per installare e configurare servizi di sistema. Il pattern suggerisce operazioni di lungo periodo con necessità di rientrare nei sistemi compromessi in modo controllato, minimizzando l'esposizione di porte di ascolto.

UNC3886 (G1048) porta la tecnica a un livello infrastrutturale diverso: la persistenza viene mantenuta su firewall FortiGate tramite ICMP port knocking. La scelta di ICMP anziché TCP come protocollo di knock è significativa dal punto di vista intelligence, perché suggerisce una comprensione profonda dell'architettura target — il traffico ICMP verso un firewall è meno sospetto del TCP verso porte chiuse. L'operatività su dispositivi di rete anziché endpoint tradizionali colloca UNC3886 in un segmento di threat actor con capacità avanzate di sviluppo firmware-level.

Sul fronte software, emergono due cluster distinti. Il primo è il tandem Mafalda/metaMain + Cryshell: entrambi i malware utilizzano il port knocking non per aprire una porta, ma come meccanismo di autenticazione inter-implant. Questo schema a due stadi — knock per autenticarsi, poi relay del traffico C2 — aggiunge un livello di indirezione che complica enormemente la detection. Il secondo cluster è REPTILE (S1219), un rootkit Linux kernel-level che integra il port knocking come funzione nativa per il controllo remoto degli endpoint compromessi, operando a un livello di profondità che rende la detection da userspace quasi impossibile.

L'evoluzione prevedibile della tecnica si muove in tre direzioni. Primo, l'adozione crescente di protocolli non-TCP per il knock (ICMP, UDP, DNS query) come già dimostrato da UNC3886. Secondo, l'estensione a dispositivi di rete e IoT dove la visibilità SOC è strutturalmente limitata. Terzo, l'integrazione del knock in rootkit kernel-level come REPTILE, dove la componente di ascolto opera sotto il livello di detection degli EDR tradizionali. Per il threat intelligence, il monitoraggio delle evoluzioni di cd00r e dei suoi fork resta un indicatore utile: essendo il proof-of-concept originale pubblicamente disponibile, le varianti custom spesso ne preservano la struttura logica, offrendo opportunità di signature matching.

Framework MITRE ATT&CK v16: tecnica T1205.001, tattiche TA0005, TA0003, TA0011. Gruppi: G0056, G1048. Software: S1060, S1219, S1204, S1059. Mitigazione: M1037. Detection: DET0302 (AN0842, AN0843, AN0844, AN0845). Integrato con conoscenza professionale per tool e procedure operative.