# AN0967 — Analytic 0967 ## Descrição Este analítico detecta o acesso malicioso aos buffers de clipboard X11 no Linux por ferramentas como `xclip` ou `xsel` fora de um contexto de terminal de usuário, especialmente quando encadeado com operações de staging (gzip, base64) ou exfiltração de rede (curl, scp). A telemetria utilizada inclui logs do auditd e monitoramento de execução de processos via EDR, correlacionando o acesso ao clipboard com comandos subsequentes de compressão ou transferência de dados. A importância desta detecção está em identificar coleta de credenciais e dados sensíveis em ambientes Linux com interface gráfica, onde atacantes exploram dados temporariamente copiados pelo usuário. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1115-clipboard-data|T1115 — Clipboard Data]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] --- *Fonte: [MITRE ATT&CK — AN0967](https://attack.mitre.org/detectionstrategies/DET0341#AN0967)*