# AN0688 — Analytic 0688 ## Descrição Detecta comportamento não autorizado de keylogger por meio de acesso a `/dev/input`, carregamento de módulos de kernel via `insmod` ou polling de dispositivos de input do usuário a partir de shells sem contexto de usuário interativo. A telemetria inclui auditd (regras de acesso a `/dev/input/` e rastreamento de `insmod`/`modprobe`), logs do kernel e registros de execução de processos que identificam leitores de dispositivo de input operando sem sessão de terminal de usuário ativa. Essa analítica é relevante para detectar keyloggers em nível de kernel implantados por rootkits ou malware Linux que visam capturar credenciais, comandos administrativos e comúnicações sensíveis em servidores críticos. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] --- *Fonte: [MITRE ATT&CK — AN0688](https://attack.mitre.org/detectionstrategies/DET0246#AN0688)*