# AN0185 — Analytic 0185 ## Descrição Detecta uma cadeia onde um novo dispositivo externo é reconhecido pelo Windows (USB/Thunderbolt/PCIe) ou um novo dispositivo de bloco aparece; dentro de uma janela curta, a mesma sessão de usuário gera processos ou o SO monta um novo volume; com atividade opcional subsequente como injeção de teclas via HID, carregamento de driver DMA ou nova interface de rede MAC no DHCP, correlacionando Security EID 6416 / Kernel-PnP com Sysmon e metadados DHCP/rede. A telemetria utilizada inclui eventos de plug-in de dispositivo do Windows (Security EID 6416, DeviceSetupManager), Sysmon para processos iniciados próximos ao evento de dispositivo e logs DHCP para novas concessões de endereço associadas a novos endereços MAC. Essa analítica detecta ataques via dispositivos físicos como BadUSB, implantes de hardware e exfiltração via USB, vetores relevantes em ambientes com controles de segurança de rede rígidos mas acesso físico menos controlado. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1200-hardware-additions|T1200 — Hardware Additions]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0185](https://attack.mitre.org/detectionstrategies/DET0069#AN0185)*