# AN0620 — Analytic 0620 ## Descrição Este analítico detecta processos Linux acessando dispositivos ALSA/PulseAudio ou executando binários de captura de áudio como `arecord`, seguidos de criação de arquivos ou spawn suspeito de processos filhos. A telemetria inclui logs de auditoria Linux com monitoramento de acesso a dispositivos de áudio (`/dev/snd/*`), eventos de execução de ferramentas de captura de áudio por processos inesperados via `auditd` e correlação com criação de arquivos de áudio em diretórios temporários ou de usuário seguida de atividade de rede. Essa detecção é importante em ambientes Linux com microfones ativos (workstations, laptops, servidores com hardware de áudio), onde implantes de espionagem podem utilizar ferramentas nativas do sistema para captura furtiva de áudio sem atrair a mesma aténção que binários maliciosos dedicados. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1123-audio-capture|T1123 — Audio Capture]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0620](https://attack.mitre.org/detectionstrategies/DET0221#AN0620)*