# AN0248 — Analytic 0248 ## Descrição Esta analítica detecta operações de escrita em diretórios de montagem USB (como `/media/`, `/run/media/`) seguidas pelo acesso ou execução dos mesmos arquivos em outro host. A telemetria principal é baseada em eventos de montagem de sistema de arquivos e logs de auditoria de acesso a arquivos via auditd ou inotify. A detecção é importante pois o uso de mídias removíveis como canal de comunicação é técnica fundamental em ataques a ambientes industriais e redes isoladas na América Latina. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] - [[t1092-communication-through-removable-media|T1092 — Commúnication Through Removable Media]] - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0248](https://attack.mitre.org/detectionstrategies/DET0090#AN0248)*