# AN1086 — Analytic 1086 ## Descrição Este analítico detecta um processo ou comando de terminal fora dos utilitários de shell padrão que lê o arquivo `.bash_history` do usuário no macOS. Utiliza logs unificados ou ferramentas de telemetria como EndpointSecurity (ESF) para observar APIs de leitura de arquivo ou linhagem de processo de terminal que indicam acesso não iniciado pelo usuário. A detecção é importante porque o acesso não autorizado ao histórico de shell no macOS pode revelar ao adversário informações sobre ferramentas utilizadas, credenciais inline e padrões de administração, acelerando o reconhecimento pós-comprometimento. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN1086](https://attack.mitre.org/detectionstrategies/DET0385#AN1086)*