# AN1411 — Analytic 1411 ## Descrição Detecta quando um adversário monta uma unidade externa em /media ou /mnt no Linux e acessa ou copia dados direcionados via shell, cp ou tar para exfiltração física. A telemetria baseia-se em eventos de montagem de sistema de arquivos capturados pelo auditd, acesso a arquivos em pontos de montagem recém-criados e execução de comandos de cópia ou compressão por usuários não privilegiados. Essa detecção é relevante em ambientes de infraestrutura crítica e ambientes air-gapped onde a exfiltração por dispositivos físicos é um vetor de risco significativo, especialmente em cenários de ameaça interna. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1052-001-exfiltration-over-usb|T1052.001 — Exfiltration over USB]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1074-001-local-data-staging|T1074.001 — Local Data Staging]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN1411](https://attack.mitre.org/detectionstrategies/DET0511#AN1411)*