# AN0447 — Analytic 0447 ## Descrição Detecta inserção de proxies de hardware USB (como PiKVM) que se registram sob nomes previsíveis (como `tinypilot`) ou montam em caminhos conhecidos (como `/opt/tinypilot-privileged`), identificando padrões de enumeração de dispositivo característicos. A telemetria necessária inclui logs do kernel Linux (dmesg, udev) para eventos de conexão de dispositivos USB, monitoramento de criação de diretórios em caminhos de instalação conhecidos de dispositivos KVM por hardware e inventário de dispositivos USB conectados versus baseline aprovada. Essa detecção é importante em servidores Linux de datacenter onde a inserção física de dispositivos KVM por hardware pode fornecer acesso remoto persistente fora de qualquer controle de rede. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1200-hardware-additions|T1200 — Hardware Additions]] - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0447](https://attack.mitre.org/detectionstrategies/DET0159#AN0447)*