# AN0330 — Analytic 0330 ## Descrição Correlaciona acesso de entrada a serviços macOS expostos (ARD/VNC 5900, SSH 22, ScreenSharing, serviços web) com travamentos de processos nos logs unificados e criação de processos filhos anômalos sob aqueles serviços (como bash, curl), indicando exploração. A telemetria empregada inclui logs unificados do macOS (Unified Log), dados do Endpoint Security Framework e registros de conexões de rede. Essa analítica é importante porque serviços de acesso remoto nativos do macOS como ARD e ScreenSharing são frequentemente alvos em ataques de acesso inicial contra endpoints corporativos Apple. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1210-exploitation-of-remote-services|T1210 — Exploitation of Remote Services]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1133-external-remote-services|T1133 — External Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0330](https://attack.mitre.org/detectionstrategies/DET0118#AN0330)*