# AN0097 — Analytic 0097 ## Descrição Monitora a execução de ps, top ou launchctl com processos pai incomuns ou a partir de scripts de terminal no macOS, bem como o uso indevido de AppleScript para listagem de processos ou do comando system_profiler SPApplicationsDataType. A telemetria inclui o Endpoint Security Framework para capturar execuções de processo, logs do Unified Logging (subsistema launchd), e eventos de autorização de acesso de AppleScript via Privacy & Security. Este analítico é relevante porque o macOS possui múltiplos vetores nativos para enumeração de processos, e sua invocação a partir de contextos não interativos ou scripts é indicativa de ferramentas de pós-exploração como osquery abusado ou implantes de malware como Silver Sparrow. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1057-process-discovery|T1057 — Process Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1106-native-api|T1106 — Native API]] --- *Fonte: [MITRE ATT&CK — AN0097](https://attack.mitre.org/detectionstrategies/DET0034#AN0097)*