det0221-behavioral-detection-strategy-for-t1123-audio-capture-across-windows-lin

# DET0221 — Behavioral Detection Strategy for T1123 Audio Capture Across Windows, Linux, macOS ## Descrição Esta estratégia cobre a detecção de acesso não autorizado ao microfone do sistema para captura de áudio ambiente, técnica usada por spyware e RATs avançados para espionagem corporativa e vigilância de alvos de alto valor. A detecção se baseia em identificar processos que abrem handles de dispositivos de áudio sem justificativa legítima. No Windows, o acesso à API `waveInOpen` ou `IAudioClient` por processos não-esperados (ex: malware disfarçado de serviço) é o principal sinal. Em Linux, acesso a `/dev/snd/pcmC*` ou chamadas `ioctl` a dispositivos ALSA por processos suspeitos configuram o indicador. Em macOS, o uso de `AVAudioSession` ou `AudioUnit` APIs por processos sem entitlements de microfone devidamente declarados é anômalo. A telemetria necessária inclui auditoria de chamadas de sistema (Sysmon Event ID 10 para acesso a processos de áudio no Windows; auditd em Linux), logs de acesso a dispositivos de hardware e monitoramento de permissões de aplicativos via MDM em macOS. ## Indicadores de Detecção - Processo não-navegador e não-conferência abrindo handle para dispositivo de áudio (`MMDevAPI`, `waveInOpen`, ALSA) - DLL de captura de áudio (`winmm.dll`, `mfplat.dll`) carregada em processo sem histórico de uso de microfone - Acesso a `/dev/snd/` em Linux por processo em background sem terminal associado - Chamadas `TCSoundCapture` ou `CFRunLoopAddObserver` em macOS por processo não listado nas permissões de microfone - Escrita de arquivos `.wav`, `.ogg` ou `.mp3` em diretórios temporários por processos de sistema - Processo com baixo número de janelas abertas (background) realizando operações de I/O contínuas em dispositivo de áudio ## Técnicas Relacionadas - [[t1123-audio-capture|T1123 — Audio Capture]] - [[t1125-video-capture|T1125 — Video Capture]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1113-screen-capture|T1113 — Screen Capture]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] ## Analytics Relacionadas - [[an0619-analytic-0619|AN0619 — Analytic 0619]] - [[an0620-analytic-0620|AN0620 — Analytic 0620]] - [[an0621-analytic-0621|AN0621 — Analytic 0621]] --- *Fonte: [MITRE ATT&CK — DET0221](https://attack.mitre.org/detectionstrategies/DET0221)*