# AN1567 — Analytic 1567 ## Descrição Este analítico detecta enumeração suspeita de dispositivos USB HID e padrões de injeção de keystrokes no Windows, como sequências rápidas de input sem contexto de usuário, scripts executados via teclas simuladas, ou dispositivos rogue apresentando-se como teclados (ex.: USB Rubber Ducky, OMG Cable). A telemetria combina eventos de plug-in de dispositivo USB do Windows (Event ID 2003 no Microsoft-Windows-Kernel-PnP), logs de HID do Device Manager e eventos de criação de processo do EDR que correlacionam a chegada de novo dispositivo USB com execução abrupta de comandos ou scripts. A relevância é alta para ambientes com controle físico limitado, como estações de trabalho em áreas públicas, pois dispositivos HID maliciosos permitem execução de payload em segundos sem interação do usuário alvo. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1200-hardware-additions|T1200 — Hardware Additions]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] --- *Fonte: [MITRE ATT&CK — AN1567](https://attack.mitre.org/detectionstrategies/DET0568#AN1567)*