# AN1251 — Analytic 1251 ## Descrição Detecta alterações suspeitas em arquivos de autorização e plugins PAM do macOS, correlacionando modificações de arquivo em /etc/pam.d/ ou /Library/Security/SecurityAgentPlugins com tentativas de autenticação incomuns ou uso anômalo de contas. A telemetria inclui logs unificados do macOS registrando modificações em plugins de autenticação e eventos de autenticação correlacionados com horários e contextos de acesso incomuns. Essa análise identifica backdoors de autenticação implantados por adversários para persistência e escalada de privilégios em sistemas macOS. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1556.003-pluggable-authentication-modules|T1556.003 — Pluggable Authentication Modules]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1251](https://attack.mitre.org/detectionstrategies/DET0454#AN1251)*