# AN0272 — Analytic 0272 ## Descrição Esta analítica detecta o uso scriptado ou binário de utilitários X11 como `xdotool` e `wmctrl`, ou acesso direto a mapeamentos de janela via `/proc/*/window`, para descobrir janelas GUI abertas e desktops ativos no Linux. A telemetria inclui logs de auditd para execução desses utilitários e monitoramento de conexões ao servidor X11 de processos inesperados. A detecção é relevante pois a enumeração de janelas X11 é técnica empregada por malwares de espionagem em ambientes Linux com interface gráfica, como workstations de desenvolvimento ou terminais de traders. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1010-application-window-discovery|T1010 — Application Window Discovery]] - [[t1113-screen-capture|T1113 — Screen Capture]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0272](https://attack.mitre.org/detectionstrategies/DET0097#AN0272)*