# AN1003 — Analytic 1003 ## Descrição Este analítico detecta criação ou modificação de usuários no macOS via `dscl` com atributo `IsHidden=1`, UID abaixo de 500, ou edições de plist em `com.apple.loginwindow` com a flag `Hide500Users` para ocultar contas da tela de login. A telemetria utilizada inclui logs do Unified Log e eventos do EndpointSecurity framework para monitorar execuções de `dscl` e modificações nos plists do Directory Service, correlacionando atributos de conta oculta com exclusão da tela de login. A detecção é importante para identificar backdoors de persistência criados por malware macOS sofisticado e por atacantes com acesso root, onde contas de usuário invisíveis são usadas para manter acesso remoto via SSH ou serviços de compartilhamento de tela sem detecção visual. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1136-create-account|T1136 — Create Account]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN1003](https://attack.mitre.org/detectionstrategies/DET0353#AN1003)*