# AN1282 — Analytic 1282 ## Descrição Detecta o uso do comando `security` ou da API do Keychain para extrair senhas de redes Wi-Fi conhecidas a partir de SSIDs alvo. A telemetria utilizada inclui logs de auditoria do macOS, chamadas ao Keychain Services e eventos de execução de processos que invocam o binário `security` com argumentos relacionados à recuperação de credenciais. Esta detecção é crítica pois adversários utilizam esse método para obter credenciais de rede sem autenticação adicional, aproveitando o acesso local ao Keychain do usuário. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1555-003-credentials-from-web-browsers|T1555.003 — Credentials from Web Browsers]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1056-input-capture|T1056 — Input Capture]] --- *Fonte: [MITRE ATT&CK — AN1282](https://attack.mitre.org/detectionstrategies/DET0464#AN1282)*