# AN0294 — Analytic 0294 ## Descrição Esta analítica detecta processos não assinados ou baseados em scripting que invocam binários de quebra de senha ou acessam artefatos de credenciais hasheadas após o login em sistemas macOS. A telemetria inclui eventos do Endpoint Security Framework para execução de processos não assinados e acesso a artefatos de keychain ou arquivos de hash de senha. A detecção é relevante pois a extração e quebra de credenciais no macOS frequentemente envolve acesso ao keychain e aos arquivos de hash armazenados pelo sistema, sendo técnica usada por malwares como XCSSET que visam desenvolvedores. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1110-002-password-cracking|T1110.002 — Password Cracking]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1555-001-keychain|T1555.001 — Keychain]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] --- *Fonte: [MITRE ATT&CK — AN0294](https://attack.mitre.org/detectionstrategies/DET0105#AN0294)*