# AN0568 — Analytic 0568 ## Descrição Este analítico detecta processos não padrão ou hospedados por scripts que carregam bibliotecas de captura de câmera/vídeo (como `avicap32.dll`, `mf.dll`, `ksproxy.ax`), abrem o Camera Frame Server ou dispositivo de captura, escrevem artefatos de vídeo/imagem (`.mp4`, `.avi`, `.yuv`) em locais incomuns e, opcionalmente, iniciam transferência de saída logo em seguida. A telemetria utilizada inclui logs de carregamento de módulos (Sysmon Event ID 7), eventos de criação de processos e monitoramento de atividade de rede correlacionada com escrita de arquivos de mídia. Essa detecção é importante pois adversários podem usar o acesso à câmera para vigilância e coleta de informações sensíveis do ambiente físico do alvo. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1125-video-capture|T1125 — Video Capture]] - [[t1113-screen-capture|T1113 — Screen Capture]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1056-input-capture|T1056 — Input Capture]] --- *Fonte: [MITRE ATT&CK — AN0568](https://attack.mitre.org/detectionstrategies/DET0197#AN0568)*