# AN1237 — Analytic 1237 ## Descrição Detecta criação de contas usando o comando 'dscl -creaté' ou via ferramentas de GUI no macOS, identificada por execução de comandos e alterações no banco de dados de serviços de diretório local. A telemetria inclui logs unificados do macOS registrando chamadas ao Directory Services e modificações em entradas de usuários locais. Essa análise é relevante para identificar criação de backdoors de conta em sistemas macOS, frequentemente usados por adversários para manter acesso persistente. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1136.001-local-account|T1136.001 — Local Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN1237](https://attack.mitre.org/detectionstrategies/DET0447#AN1237)*