# AN0575 — Analytic 0575 ## Descrição Este analítico detecta tentativas de enumeração de VMs usando utilitários de virtualização como VirtualBox (`VBoxManage`) ou Parallels CLI no macOS, observando invocações anormais de comandos de listagem de VMs correlacionadas com usuários não administradores ou processos pais incomuns. A telemetria inclui logs de execução de processos do macOS Unified Logging, monitoramento de argumento de linha de comando via Endpoint Security Framework e eventos de auditoria de sistema (`/var/audit`). Essa detecção é relevante em ambientes macOS corporativos onde desenvolvedores usam VMs, pois adversários podem explorar utilitários de virtualização legítimos para descobrir e atacar ambientes de desenvolvimento isolados. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0575](https://attack.mitre.org/detectionstrategies/DET0199#AN0575)*