# AN0156 — Analytic 0156 ## Descrição Detecta tentativas suspeitas de acesso à memória do processo securityd no macOS, observando ferramentas que invocam operações de leitura de memória de processo como ptrace ou task_for_pid contra o securityd, correlacionadas com linhagem de processo anômala, escalação de privilégio para root, ou tentativas de acesso não autorizado repetidas. A telemetria inclui o Endpoint Security Framework para monitorar chamadas task_for_pid e operações de inspeção de memória inter-processo, logs do Unified Logging (subsistema com.apple.securityd) para rastrear acesso ao daemon de segurança, e alertas do TCC (Transparency Consent and Control) para tentativas de acesso bloqueadas. Este analítico é crítico para detectar ataques direcionados ao securityd, que é responsável por gerenciar o Keychain e pode expor todas as credenciais armazenadas se comprometido. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0156](https://attack.mitre.org/detectionstrategies/DET0057#AN0156)*