det0491-peripheral-device-enumeration-via-system-utilities-and-api-calls

# DET0491 — Peripheral Device Enumeration via System Utilities and API Calls ## Descrição A enumeração de dispositivos periféricos é uma técnica de reconhecimento usada por adversários para identificar dispositivos conectados ao sistema alvo, incluindo drives USB, dispositivos de armazenamento removível, câmeras, impressoras e outros dispositivos que possam conter dados sensíveis ou servir como vetor de exfiltração. Em Windows, utilitários como `fsutil fsinfo drives`, `wmic lógicaldisk get`, `Get-PnpDevice` (PowerShell) e chamadas à API DeviceIoControl são usados para essa enumeração. Essa técnica está associada a [[t1120-peripheral-device-discovery|T1120 — Peripheral Device Discovery]] no MITRE ATT&CK. A enumeração de periféricos é frequentemente um precursor para coleta de dados de mídia removível ([[t1025-data-from-removable-media|T1025]]) ou para identificar câmeras e microfones que possam ser ativados para vigilância. Malware espião e ferramentas de acesso remoto (RATs) como [[darkcomet|DarkComet]] e [[s0385-njrat|njRAT]] incluem funcionalidades de enumeração de dispositivos como parte de seus módulos de reconhecimento do sistema alvo. A detecção é baseada na identificação de padrões anômalos de consulta a dispositivos periféricos por processos não relacionados a software de backup, inventário de ativos ou administração de sistemas. A correlação entre a enumeração de dispositivos removíveis e subsequente leitura de arquivos desses dispositivos indica potencial coleta de dados. ## Indicadores de Detecção - `wmic lógicaldisk get` ou `fsutil fsinfo drives` executados por processos de usuário não administrativo - Chamadas à API `SetupDiGetDeviceRegistryProperty` por processo que não é software de inventário ou gestão de ativos - `Get-PnpDevice` executado via PowerShell em contexto de shell remoto ou processo suspeito - Enumeração de dispositivos de armazenamento removível seguida de cópia de arquivos para esses dispositivos - Acesso a registro `HKLM\SYSTEM\CurrentControlSet\Enum\USB` por processos não relacionados a gestão de hardware - Script automatizado enumerando dispositivos em múltiplos hosts via WMI ou PSRemoting - Enumeração de câmeras ou microfones (Device Manager APIs) por aplicações que não são videoconferência ## Técnicas Relacionadas - [[t1120-peripheral-device-discovery|T1120 — Peripheral Device Discovery]] - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1113-screen-capture|T1113 — Screen Capture]] ## Analytics Relacionadas - [[an1353-analytic-1353|AN1353 — Analytic 1353]] - [[an1354-analytic-1354|AN1354 — Analytic 1354]] - [[an1355-analytic-1355|AN1355 — Analytic 1355]] --- *Fonte: [MITRE ATT&CK — DET0491](https://attack.mitre.org/detectionstrategies/DET0491)*