# AN0711 — Analytic 0711 ## Descrição Detecta acesso incomum a sockets de agente SSH em `/tmp/` ou `/private/tmp`, acesso de processo ao `$SSH_AUTH_SOCK` de outro usuário e atividade SSH lateral sem eventos de login correspondentes, correlacionando acesso a socket com fluxos de rede anômalos para sistemas internos. A telemetria inclui o Unified Log do macOS, FSEvents e logs de conexão SSH que identificam processos acessando sockets de agente SSH pertencentes a outros usuários, seguidos de sessões SSH para hosts internos sem nova autenticação. Essa analítica é importante para detectar SSH agent hijacking em ambientes macOS corporativos onde desenvolvedores e engenheiros de DevOps frequentemente mantêm sessões SSH abertas com chaves carregadas no agente para acesso a servidores de produção. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN0711](https://attack.mitre.org/detectionstrategies/DET0256#AN0711)*