det0197-behavior-chain-platform-aware-detection-strategy-for-t1125-video-capture

# DET0197 — Behavior-chain, platform-aware detection strategy for T1125 Video Capture ## Descrição Esta estratégia detecta acesso malicioso à câmera do dispositivo por processos não-autorizados — mapeada para [[T1125 — Video Capture]]. Spyware, RATs e malware de espionagem acessam webcams e câmeras integradas para capturar imagens ou vídeo do ambiente da vítima, muitas vezes sem ativar a luz indicadora de câmera, usando APIs diretas ao hardware para contornar controles do sistema operacional. A detecção é consciente de plataforma e baseia-se em cadeia de comportamentos. No Windows, monitora acesso à API de câmera (`Windows.Media.Capture`, DirectShow, Media Foundation) por processos que não são aplicações de videoconferência conhecidas. No macOS, eventos TCC (Transparency, Consent, and Control) de acesso à câmera por processos não-autorizados são capturados. No Linux, acesso a dispositivos `/dev/video*` por processos não-esperados. Três analytics endereçam as plataformas: Windows (processo não-browser/não-VC acessando APIs de câmera), macOS (violação de policy TCC de câmera), e Linux (acesso a `/dev/video0` por processo de background). A cadeia completa — acesso à câmera seguido de criação de arquivo de imagem/vídeo e posterior exfiltração — é o padrão de confirmação mais forte. ## Indicadores de Detecção - Processo não-whitelisted acessando `Windows.Media.Capture.MediaCapture` APIs - Acesso direto à câmera via DirectShow por processo com comportamento de malware - Evento TCC no macOS: processo acessando câmera sem consentimento de usuário registrado - Acesso a `/dev/video0` por processo de background não associado a software de videoconferência - Processo criando arquivos `.jpg`, `.mp4` ou `.avi` após acesso à API de câmera - Acesso à câmera durante horário fora de reuniões agendadas do calendário do usuário - Processo com acesso à câmera estabelecendo conexão de rede imediatamente após captura ## Técnicas Relacionadas - [[t1125-video-capture|T1125 — Video Capture]] - [[t1123-audio-capture|T1123 — Audio Capture]] - [[t1113-screen-capture|T1113 — Screen Capture]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] ## Analytics Relacionadas - [[an0568-analytic-0568|AN0568 — Analytic 0568]] - [[an0569-analytic-0569|AN0569 — Analytic 0569]] - [[an0570-analytic-0570|AN0570 — Analytic 0570]] --- *Fonte: [MITRE ATT&CK — DET0197](https://attack.mitre.org/detectionstrategies/DET0197)*