# AN0867 — Analytic 0867 ## Descrição Esta analítica detecta o uso de `dseditgroup` ou `dscl` para adicionar usuários a grupos privilegiados do macOS como o grupo `admin`. A telemetria utilizada inclui o EndpointSecurity Framework e Unified Log para monitorar execução desses utilitários de gerenciamento de diretório, especialmente quando invocados por processos com linhagem suspeita ou fora de sessões de administração reconhecidas. Esta detecção é importante para identificar implantes macOS que tentam elevar permanentemente os privilégios de contas de usuário comprometidas, tornando-as administradores locais para facilitar persistência e acesso a recursos protegidos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1136-create-account|T1136 — Create Account]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0867](https://attack.mitre.org/detectionstrategies/DET0310#AN0867)*