# AN1568 — Analytic 1568 ## Descrição Este analítico detecta enumeração de dispositivos USB HID sob `/sys/bus/usb/devices/` no Linux e injeção rápida de keystrokes resultando em execução de comandos como bash ou scripts Python sem atividade interativa do usuário, padrão característico de dispositivos HID maliciosos tipo Rubber Ducky. A telemetria provém de eventos udev e do kernel Linux (`/var/log/kern.log`, `dmesg`) que registram conexão de novos dispositivos USB, correlacionados com auditd que captura execuções de processo subsequentes sem sessão interativa associada. A relevância é alta para ambientes Linux com acesso físico parcial, como servidores em datacenters compartilhados ou estações de trabalho em laboratórios, onde dispositivos HID maliciosos podem executar payloads mesmo sem autenticação de usuário. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1200-hardware-additions|T1200 — Hardware Additions]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] --- *Fonte: [MITRE ATT&CK — AN1568](https://attack.mitre.org/detectionstrategies/DET0568#AN1568)*