# AN1155 — Analytic 1155 ## Descrição Detecta acesso incomum a `~/Library/Keychains`, `~/.bash_history` ou histórico de comandos do Terminal por processos ou usuários não autorizados no macOS. A telemetria inclui Unified Logs, eventos do Endpoint Security Framework para acesso a arquivos e monitoramento de chamadas de API do Keychain para identificar processos não esperados que tentam extrair segredos armazenados. Esse analítico é crítico porque o Keychain do macOS armazena senhas, certificados e chaves SSH, sendo um alvo de alto valor para adversários que buscam escalonamento de privilégios ou acesso a sistemas adicionais. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] --- *Fonte: [MITRE ATT&CK — AN1155](https://attack.mitre.org/detectionstrategies/DET0412#AN1155)*