# AN0244 — Analytic 0244 ## Descrição Esta analítica detecta processos não pertencentes ao sistema que acessam `/dev/input/*` ou que emitem syscalls `ptrace`/`evdev` para leitura direta de buffers de teclas pressionadas. A telemetria é obtida via auditd ou eBPF monitorando syscalls suspeitas e acessos a dispositivos de entrada. A detecção é relevante porque o acesso direto a dispositivos de entrada no Linux é uma técnica de keylogging usada em malwares sofisticados voltados a servidores sem GUI. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1056-001-keylogging|T1056.001 — Keylogging]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0244](https://attack.mitre.org/detectionstrategies/DET0089#AN0244)*