# AN0687 — Analytic 0687 ## Descrição Detecta uma cadeia de comportamento envolvendo chamadas de API inesperadas para capturar input de teclado, carregamento de drivers de keylogger ou uso remoto de autenticação por smart card via sessões de logon não iniciadas por interação local do usuário. A telemetria inclui Sysmon (Event ID 7 — ImageLoad para drivers de keylogger), Windows Security Event Log (Event ID 4611/4624) e API Monitor que identificam hooks de teclado instalados por processos não autorizados ou acessos a dispositivos de smart card sem contexto de usuário local. Essa analítica é fundamental para detectar keyloggers e interceptação de autenticação usados em espionagem corporativa e campanhas de roubo de credenciais de alto valor. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0687](https://attack.mitre.org/detectionstrategies/DET0246#AN0687)*