# AN1354 — Analytic 1354 ## Descrição Detecta enumeração de hardware USB e outros periféricos via `udevadm`, `lshw` ou interfaces `/sys` e `/proc` em proximidade com comportamento de coleta de dados ou montagem de dispositivos. A telemetria inclui eventos de auditd para execução de ferramentas de enumeração de hardware, leituras de `/sys/bus/usb/`, eventos de montagem de dispositivos USB e correlação com processos que subsequentemente acessam dispositivos de armazenamento removíveis. Esta detecção é importante para identificar malware Linux que realiza reconhecimento de periféricos antes de tentar exfiltrar dados via dispositivos USB, uma técnica relevante em ataques a sistemas air-gapped ou ambientes industriais onde a exfiltração de rede é bloqueada. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1120-peripheral-device-discovery|T1120 — Peripheral Device Discovery]] - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] --- *Fonte: [MITRE ATT&CK — AN1354](https://attack.mitre.org/detectionstrategies/DET0491#AN1354)*