# AN1569 — Analytic 1569 ## Descrição Este analítico detecta enumeração anormal de dispositivos HID via I/O Registry (`ioreg -p IOUSB`) no macOS e injeção de keystrokes direcionada a AppleScript, osascript ou equivalentes PowerShell, correlacionando novas conexões de dispositivos USB com execução rápida de scripts sem interação humana esperada. A telemetria é obtida do Endpoint Security Framework (ESF) e unified log do macOS que registram eventos de dispositivo USB e execuções de processo com hierarquia completa, permitindo correlacionar temporalmente a chegada de um dispositivo HID com execução de scripts automatizados. A relevância para detecção é alta pois dispositivos HID maliciosos em ambientes macOS corporativos podem executar payloads completos em segundos, contornando proteções de gatekeeper e sandboxing por operarem em nível de input de teclado. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1200-hardware-additions|T1200 — Hardware Additions]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] --- *Fonte: [MITRE ATT&CK — AN1569](https://attack.mitre.org/detectionstrategies/DET0568#AN1569)*