# AN0495 — Analytic 0495 ## Descrição Este analítico detecta tentativas de exploração contra frameworks de autenticação do macOS como OpenDirectory ou Keychain, identificando crashes anômalos no `opendirectoryd`, uso não autorizado de APIs do Keychain e eventos incomuns de sudo ou login. A telemetria inclui Unified Logs do macOS (`log show`), FSEvents para acesso ao Keychain, logs de OpenDirectory e correlação com eventos de escalonamento de privilégio. Essa detecção é relevante pois falhas nos frameworks de autenticação nativos do macOS podem fornecer acesso persistente e privilegiado a adversários sem acionar mecanismos de alerta convencionais. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN0495](https://attack.mitre.org/detectionstrategies/DET0174#AN0495)*