# AN1553 — Analytic 1553 ## Descrição Este analítico detecta a cadeia comportamental de válidação de ambiente macOS: profiling do sistema via `system_profiler`, `sysctl` e comandos de descoberta de hardware; enumeração de interface de rede e configuração para válidação de geolocalização e ambiente de rede; descoberta de aplicações instaladas e versões para fingerprinting do ambiente de software; detecção de recursos de segurança (SIP, Gatekeeper, XProtect); e execução condicional de payload baseada em critérios macOS-específicos. A telemetria é obtida do Endpoint Security Framework (ESF) e unified log que registram execuções de processo e chamadas de API com hierarquia completa de processos. Essa detecção é relevante para identificar malware macOS como DPRK-atribuído (Lazarus/AppleJeus) que realiza válidação extensiva de ambiente antes de executar payloads de roubo de criptomoedas. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN1553](https://attack.mitre.org/detectionstrategies/DET0562#AN1553)*