# AN0977 — Analytic 0977 ## Descrição Este analítico detecta escalada de privilégios no macOS através da execução de `/usr/libexec/security_authtrampoline` ou uso da API `AuthorizationExecuteWithPrivileges`, monitorando a linhagem de processos para lançamentos incomuns de aplicativos GUI com privilégios elevados. A telemetria utilizada inclui eventos do EndpointSecurity framework, logs do Unified Log e análise de Process Tree para identificar chamadas à API de autorização sem diálogo de autenticação legítimo. Esta detecção é importante porque o abuso da API de autorização do macOS foi documentado em malware como Shlayer e XCSSET para obter execução como root sem diálogo visível ao usuário. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0977](https://attack.mitre.org/detectionstrategies/DET0345#AN0977)*