# AN1532 — Analytic 1532 ## Descrição Este analítico detecta o uso de ferramentas como `hcitool`, `bluetoothctl` ou `rfcomm` para inicializar conexões Bluetooth no Linux, correlacionado com leituras recentes de arquivos pelo mesmo usuário ou sessão, sugerindo preparação para exfiltração via canal sem fio. A telemetria é obtida via auditd que registra chamadas de sistema e execuções de processo, complementada por eventos de dispositivo Bluetooth do kernel (`/var/log/syslog`, `dmesg`) que capturam pareamentos e transferências. Essa detecção é relevante em ambientes industriais e de alto valor onde dispositivos Linux com interfaces Bluetooth podem ser usados como canal encoberto de exfiltração. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1011-001-exfiltration-over-bluetooth|T1011.001 — Exfiltration Over Bluetooth]] - [[t1011-exfiltration-over-other-network-medium|T1011 — Exfiltration Over Other Network Medium]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN1532](https://attack.mitre.org/detectionstrategies/DET0554#AN1532)*