# AN0050 — Analytic 0050 ## Descrição Detecta tentativas de adversários de identificar agentes de monitoramento como Little Snitch, KnockKnock ou outros daemons do sistema via listagem de processos (`ps -e`), verificações de pastas de aplicativos e listagem de extensões do sistema, indicando reconhecimento de controles de segurança antes de ações evasivas. A telemetria inclui o Endpoint Security Framework do macOS para execução de comandos de enumeração, logs de acesso a diretórios de aplicativos e correlação com comportamento subsequente de evasão de defesa. Esse analítico é importante em macOS onde adversários sofisticados verificam a presença de ferramentas de segurança antes de implantar payloads ou executar técnicas de persistência. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] --- *Fonte: [MITRE ATT&CK — AN0050](https://attack.mitre.org/detectionstrategies/DET0016#AN0050)*