det0159-detect-remote-access-via-usb-hardware-tinypilot-pikvm

# DET0159 — Detect Remote Access via USB Hardware (TinyPilot, PiKVM) ## Descrição Esta estratégia detecta o uso de dispositivos de acesso remoto baseados em hardware via USB — como TinyPilot, PiKVM, e dispositivos KVM-over-IP similares — conectados fisicamente a servidores ou workstations para acesso remoto fora de banda (T1200). Esses dispositivos emulam teclado, mouse e captura de vídeo via USB, fornecendo controle completo do sistema mesmo sem rede, sem agente instalado, e invisível para o sistema operacional da vítima. O vetor é relevante em ataques físicos de insider threat, comprometimento de data centers, ou campanhas de espionagem direcionadas onde agentes têm acesso físico temporário ao hardware. O PiKVM e TinyPilot, por exemplo, se apresentam ao sistema como dispositivos USB de teclado/mouse padrão (HID) e expõem uma interface web de controle remoto na rede. A telemetria inclui: monitoramento de Device Guard para novos dispositivos USB HID (Event ID 6416 com `DeviceDescription` de teclado/mouse USB), logs de interface de rede para novos endereços MAC ativos (o dispositivo tem sua própria interface de rede), análise de DHCP para novos dispositivos na rede, e câmeras de segurança/controle de acesso físico. Inventário contínuo de dispositivos USB autorizados via política é fundamental. ## Indicadores de Detecção - Novo dispositivo USB HID (teclado + mouse) conectado a servidor de produção (Event ID 6416) - Novo endereço MAC ativo na rede sem correspondência em inventário de ativos - Solicitação DHCP de dispositivo não reconhecido com hostname `tinypilot`, `pikvm`, ou genérico - Porta USB ativa em servidor sem justificativa operacional (auditoria física de datacenter) - Acesso à interface web de KVM (portas 443/80) a partir de IP interno não-administrativo ## Técnicas Relacionadas - [[t1200-hardware-additions|T1200 — Hardware Additions]] - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] ## Analytics Relacionadas - [[an0446-analytic-0446|AN0446 — Analytic 0446]] - [[an0447-analytic-0447|AN0447 — Analytic 0447]] - [[an0448-analytic-0448|AN0448 — Analytic 0448]] --- *Fonte: [MITRE ATT&CK — DET0159](https://attack.mitre.org/detectionstrategies/DET0159)*