# AN0155 — Analytic 0155 ## Descrição Detecta instalação maliciosa de certificados no macOS monitorando a execução do comando security add-trusted-cert e modificações em keychains do sistema (System.keychain, SystemRoots.keychain). A telemetria inclui o Endpoint Security Framework para monitorar execuções do comando security com argumentos add-trusted-cert, logs do Unified Logging (subsistema com.apple.securityd) para rastrear operações de keychain, e correlação com processos não privilegiados que tentam adicionar certificados confiáveis. Este analítico é importante para detectar adware e malware macOS que instalem CAs raiz maliciosas para interceptar tráfego HTTPS do usuário ou para assinar código com um certificado que o macOS passa a tratar como confiável. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0155](https://attack.mitre.org/detectionstrategies/DET0056#AN0155)*