# AN1111 — Analytic 1111 ## Descrição Este analítico detecta o abuso da API `AuthorizationExecuteWithPrivileges` para obter privilégios elevados via prompts de credenciais de usuário, tipicamente através da invocação de `/usr/libexec/security_authtrampoline`. A detecção envolve correlação de uso da API, reputação do binário e contexto do prompt. Utiliza telemetria do Endpoint Security Framework (ESF) e análise de linhagem de processos para identificar aplicações que exploram este mecanismo de elevação legítimo de forma maliciosa. A detecção é importante porque esta técnica é usada por adware e malware no macOS para obter privilégios de root de forma aparentemente legítima, apresentando um prompt de senha que parece autêntico ao usuário. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1111](https://attack.mitre.org/detectionstrategies/DET0395#AN1111)*