# AN0982 — Analytic 0982 ## Descrição Este analítico detecta o uso de ferramentas como `xwd` (X Window Dump) ou `import` (ImageMagick) para geração de capturas de tela em sistemas Linux, especialmente quando invocadas por processos sem contexto de interface gráfica como processo pai. A telemetria utilizada inclui eventos de execução de processos via auditd, monitorando chamadas a `xwd`, `import`, `scrot` ou `gnome-screenshot` por processos em background ou com UID diferente do usuário da sessão X11 ativa. A detecção é relevante para identificar espionagem em ambientes Linux corporativos e servidores com interface gráfica, onde scripts maliciosos capturam telas de aplicações como terminais, dashboards e ferramentas de gestão. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1113-screen-capture|T1113 — Screen Capture]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN0982](https://attack.mitre.org/detectionstrategies/DET0346#AN0982)*