det0069-detect-unauthorized-or-suspicious-hardware-additions-usbthunderboltnetwo

# DET0069 — Detect unauthorized or suspicious Hardware Additions (USB/Thunderbolt/Network) ## Descrição A adição não autorizada de hardware é uma técnica utilizada tanto em operações de acesso físico quanto em ataques de supply chain para introduzir dispositivos maliciosos em redes isoladas (air-gapped) ou contornar controles de segurança de endpoint. Dispositivos USB com capacidade de HID (Human Interface Device) podem emular teclados para injetar comandos, enquanto adaptadores de rede Thunderbolt ou USB podem criar interfaces de rede adicionais para túneis C2 ou exfiltração. Esta estratégia de detecção monitora eventos de enumeração de dispositivos USB, Thunderbolt e interfaces de rede no sistema operacional, correlacionando-os com o inventário de hardware autorizado. No Windows, eventos do DeviceSetupManager (IDs 6416, 20001) e do PnP são fontes primárias. Em Linux, eventos `udev` e entradas em `/proc/bus/usb/devices` permitem identificar novos dispositivos. A criação de nova interface de rede imediatamente após conexão de dispositivo USB é especialmente suspeita. Operações de espionagem física em ambientes de alta segurança, como instalações governamentais e industriais, frequentemente envolvem dispositivos como [[rubber-ducky]] ou implantes de hardware customizados. A técnica também é relevante para detecção de ataques BadUSB e dispositivos de rede rogue conectados a switches ou estações de trabalho desassistidas. ## Indicadores de Detecção - Novo dispositivo USB de classe HID (teclado/mouse) conectado em sistema sem periféricos USB esperados - Interface de rede adicional criada após conexão de dispositivo USB ou Thunderbolt - Evento Windows 6416 (novo dispositivo externo reconhecido) para dispositivos não presentes no inventário - Dispositivo USB com Vendor ID / Product ID desconhecido ou raramente visto no ambiente - Injeção de keystroke em alta velocidade (> 200 WPM) por dispositivo HID recém-conectado - Montagem automática de volume USB em sistema com políticas de bloqueio de mídias removíveis ## Técnicas Relacionadas - [[t1200-hardware-additions|T1200 — Hardware Additions]] - [[t1052001-exfiltration-over-physical-medium-exfiltration-over-usb|T1052.001 — Exfiltration Over USB]] - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] ## Analytics Relacionadas - [[an0185-analytic-0185|AN0185 — Analytic 0185]] - [[an0186-analytic-0186|AN0186 — Analytic 0186]] - [[an0187-analytic-0187|AN0187 — Analytic 0187]] --- *Fonte: [MITRE ATT&CK — DET0069](https://attack.mitre.org/detectionstrategies/DET0069)*