# AN1147 — Analytic 1147 ## Descrição Detecta acesso a arquivos de compartilhamentos SMB montados seguido de comandos de cópia ou exfiltração executados por processos do Terminal ou interpretadores de scripts. A telemetria inclui Unified Logs do macOS, eventos de acesso ao sistema de arquivos via Endpoint Security Framework e logs de rede para correlacionar montagem de compartilhamentos SMB com leitura massiva de arquivos e transferências subsequentes. Esse analítico é relevante em ambientes macOS conectados a infraestrutura Windows, onde credenciais comprometidas podem ser usadas para acessar e exfiltrar dados de compartilhamentos corporativos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1039-data-from-network-shared-drive|T1039 — Data from Network Shared Drive]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1147](https://attack.mitre.org/detectionstrategies/DET0410#AN1147)*