# AN0247 — Analytic 0247 ## Descrição Esta analítica detecta uma sequência comportamental onde uma mídia removível é montada, arquivos são gravados ou atualizados nela, e posteriormente lidos ou executados em um host separado, sugerindo comunicação de comando e controle via relay de mídia removível. A telemetria utilizada inclui eventos de montagem de volumes, operações de I/O de arquivos e logs de execução de processos correlacionados entre múltiplos endpoints. Este padrão é relevante para detecção de ataques a redes air-gapped, onde grupos como APT28 e Equation Group usaram mídias USB como canal C2. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] - [[t1092-communication-through-removable-media|T1092 — Commúnication Through Removable Media]] - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] --- *Fonte: [MITRE ATT&CK — AN0247](https://attack.mitre.org/detectionstrategies/DET0090#AN0247)*