# AN0336 — Analytic 0336 ## Descrição Detecta execução de comandos `dscl` ou `sysadminctl` para desativar, excluir ou modificar usuários, combinada com ancestralidade de processo anômala ou sessão de terminal iniciada por processo suspeito. A telemetria inclui logs unificados do macOS, eventos do Endpoint Security Framework e registros de modificação do diretório de usuários. Essa analítica é relevante porque ferramentas nativas de gerenciamento de diretório no macOS são regularmente abusadas por malwares e scripts pós-exploração para remover usuários administradores e dificultar a resposta a incidentes. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1531-account-access-removal|T1531 — Account Access Removal]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0336](https://attack.mitre.org/detectionstrategies/DET0120#AN0336)*