# AN0283 — Analytic 0283 ## Descrição Esta analítica detecta o uso de ferramentas ou scripts que acessam dispositivos de entrada como `/dev/input/*` ou evdev por processos suspeitos que não possuem contexto de interface gráfica. A telemetria inclui logs de auditd para abertura de arquivos de dispositivo de entrada e syscalls `read()` em `/dev/input/` por processos sem contexto gráfico legítimo. A detecção é relevante pois o acesso direto a dispositivos de entrada no Linux é técnica de keylogging de baixo nível utilizada por malwares em ambientes de servidor e sistemas de ponto de venda (PoS) onde não há GUI. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1056-001-keylogging|T1056.001 — Keylogging]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0283](https://attack.mitre.org/detectionstrategies/DET0102#AN0283)*