# AN0515 — Analytic 0515 ## Descrição Este analítico detecta o uso de ferramentas nativas do macOS (`sharing -l`, `smbutil view`, `mount_smbfs`) ou scripts para enumerar compartilhamentos SMB em múltiplos hosts, seguido de conexões SMB de saída observadas em logs PF/Zeek. A telemetria inclui Unified Logs do macOS mostrando execuções de ferramentas de rede, dados do pf (filtro de pacotes) e eventos de rede Zeek correlacionando a enumeração com conexões SMB subsequentes. Detectar esse padrão no macOS é relevante em ambientes mistos onde workstations macOS são usadas como plataforma de reconhecimento para atacar servidores Windows ou NAS compartilhados. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1135-network-share-discovery|T1135 — Network Share Discovery]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0515](https://attack.mitre.org/detectionstrategies/DET0182#AN0515)*