# AN0187 — Analytic 0187 ## Descrição Detecta no macOS uma cadeia onde Unified Logs reportam chegada de dispositivo IOUSBHost/IOThunderbolt, diskarbitrationd anexa um novo volume e, opcionalmente, manipulação de perfil de configuração ou nova interface de rede MAC obtém concessão de endereço, correlacionando unifiedlogs (subsistemas: IOUSBHost, IOKit, diskarbitrationd), FSEvents e DHCP/Zeek. A telemetria inclui eventos Unified Logs dos subsistemas IOKit registrando conexão de dispositivo físico, FSEvents para acesso a arquivos no volume recém-montado e registros DHCP para novas interfaces de rede inesperadas. Essa analítica é especialmente valiosa em ambientes macOS corporativos onde dispositivos USB não autorizados podem ser vetores de exfiltração de dados ou implantação de hardware malicioso (ex.: dispositivos O.MG, Rubber Ducky) que imitam periféricos legítimos. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1200-hardware-additions|T1200 — Hardware Additions]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0187](https://attack.mitre.org/detectionstrategies/DET0069#AN0187)*