# AN0569 — Analytic 0569 ## Descrição Este analítico detecta processos que abrem ou leem dispositivos `/dev/video*` via V4L2, executam loops de ioctl/read, escrevem artefatos de vídeo contínuos ou de grande volume em disco e, subsequentemente, estabelecem conexões de saída para exfiltração. A telemetria utilizada inclui logs de auditoria do kernel Linux (`auditd`) para chamadas de sistema de abertura de dispositivos, monitoramento de escrita de arquivos em diretórios temporários e atividade de rede correlacionada com a criação de arquivos de mídia. Essa detecção é relevante pois sistemas Linux em ambientes corporativos raramente acessam câmeras, tornando tal comportamento um indicador forte de comprometimento por malware de vigilância. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1125-video-capture|T1125 — Video Capture]] - [[t1113-screen-capture|T1113 — Screen Capture]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0569](https://attack.mitre.org/detectionstrategies/DET0197#AN0569)*