# AN0256 — Analytic 0256 ## Descrição Esta analítica detecta o uso de `dscl`, `who` ou variáveis de ambiente como `$USER` por adversários para identificar contas ou sessões ativas no macOS, frequentemente executado via Terminal ou LaunchAgents maliciosos. A telemetria utilizada inclui eventos de criação de processos do Endpoint Security Framework e logs do sistema unificado (Unified Log) do macOS. A detecção é relevante pois a enumeração de contas precede ataques de escalada de privilégios no macOS, incluindo abuso de sudo e exploração de vulnerabilidades de bypass do TCC. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1087-001-local-account|T1087.001 — Local Account]] - [[t1547-006-kernel-modules-and-extensions|T1547.006 — Launch Agent]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN0256](https://attack.mitre.org/detectionstrategies/DET0093#AN0256)*