# AN0070 — Analytic 0070 ## Descrição Detecta interação anormal com ccache Kerberos baseado em memória (API:{uuid}) ou substituições baseadas em arquivo no macOS, focando em processos que tentam enumerar ou extrair tickets Kerberos fora de utilitários integrados, detectando uso de ferramentas de código aberto (ex: Bifrost, versões modificadas do Mimikatz) que interagem com as APIs do framework Kerberos da Apple. A telemetria inclui o Endpoint Security Framework do macOS para chamadas de API do framework Kerberos, análise de acesso a arquivos ccache e correlação com ferramentas de extração de credenciais conhecidas. Esse analítico é relevante para detectar ataques de roubo de tickets Kerberos específicos para macOS onde utilitários como Bifrost adaptam técnicas do Windows para o ecossistema da Apple. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0070](https://attack.mitre.org/detectionstrategies/DET0024#AN0070)*