# AN1307 — Analytic 1307 ## Descrição Detecta a cadeia comportamental de keying de ambiente no macOS, onde malware realiza descoberta de informações do sistema via utilitários nativos como `system_profiler`, `sw_vers` e consultas ao Security framework, enumera hardware e software instalado incluindo números de série, avalia configurações de rede com `networksetup` e `scutil`, válida contexto do Keychain, correlaciona uso do framework criptográfico (CommonCrypto, Security.framework) com unified logs e executa bundle de aplicação após válidação ambiental. A telemetria inclui unified logs do macOS e eventos de execução de processos via Endpoint Security framework. Esta detecção visa identificar malware macOS avançado que implementa verificações específicas de ambiente para operar apenas no alvo legítimo, sendo inerte em análises de sandbox. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] --- *Fonte: [MITRE ATT&CK — AN1307](https://attack.mitre.org/detectionstrategies/DET0474#AN1307)*