# DET0887 — Detection of Hardware ## Descrição A estratégia DET0887 aborda a detecção de aquisição ou modificação de hardware por adversários para suporte a operações maliciosas. Isso inclui aquisição de dispositivos específicos usados como infraestrutura de ataque (roteadores, mini-computadores como Raspberry Pi, dongles LTE para C2 fuera de banda), hardware de interceptação, e dispositivos com firmware comprometido na cadeia de suprimentos. Em cenários de espionagem física, adversários podem introduzir hardware malicioso em instalações corporativas. Implantes de hardware — como dispositivos de keylogging físicos conectados entre teclado e computador, dongles USB com firmware malicioso (Bad USB/Rubber Ducky), ou implantes em equipamentos de rede — são difíceis de detectar por soluções de segurança baseadas em software. Campanhas documentadas como a atribuída à NSA (catálogo ANT) demonstram o alto nível de sofisticação possível nessa categoria de ameaça. A detecção requer inventário rigoroso de hardware corporativo, processos de verificação de integridade física de equipamentos críticos, monitoramento de conexão de novos dispositivos USB e periféricos, e análise de comportamento de rede de dispositivos de infraestrutura para identificar comportamentos anômalos que possam indicar firmware comprometido. ## Indicadores de Detecção - Novo dispositivo USB conectado a endpoint de alta sensibilidade fora de processo de aprovação - Dispositivo de rede exibindo comportamento anômalo inconsistente com firmware oficial do fabricante - Dispositivo não inventariado identificado conectado à rede corporativa via varredura de ativos - Hash de firmware de dispositivo de rede não correspondendo ao hash oficial do fabricante - Keylogger físico ou dispositivo de interceptação identificado em inspeção física de equipamento - Tráfego de rede originado de dispositivo com MAC address não registrado no inventário corporativo - Mini-computador ou dispositivo IoT não autorizado comúnicando com endereço externo em segmento crítico ## Técnicas Relacionadas - [[T1588.002-tool|T1588.002 — Obtain Capabilities: Tool]] - [[t1200-hardware-additions|T1200 — Hardware Additions]] - [[T1195.003-compromise-hardware-supply-chain|T1195.003 — Supply Chain Compromise: Compromise Hardware Supply Chain]] - [[T1056.001-keylogging|T1056.001 — Input Capture: Keylogging]] - [[t1602-data-from-configuration-repository|T1602 — Data from Configuration Repository]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] ## Analytics Relacionadas - [[an2019-analytic-2019|AN2019 — Analytic 2019]] --- *Fonte: [MITRE ATT&CK — DET0887](https://attack.mitre.org/detectionstrategies/DET0887)*