# AN0267 — Analytic 0267 ## Descrição Esta analítica detecta modificações em contas de usuário via `dscl`, `pwpolicy` ou `sysadminctl` que alteram grupos de usuários, habilitam root ou contornam restrições MDM no macOS. A telemetria inclui logs do sistema unificado (Unified Log) e eventos do Endpoint Security Framework para execuções dessas ferramentas com argumentos de modificação de conta. A detecção é importante pois a habilitação do usuário root ou a adição de usuários ao grupo `admin` são indicadores claros de escalada de privilégios em endpoints macOS corporativos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-003-local-accounts|T1078.003 — Local Accounts]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0267](https://attack.mitre.org/detectionstrategies/DET0096#AN0267)*