# AN1597 — Analytic 1597 ## Descrição Detecta carregamento ou inspeção de extensões de kernel (kextstat, kextfind) e acesso a arquivos em `/System/Library/Extensions/`, monitorando uso inesperado dessas utilidades por usuários não administrativos ou scripts. A telemetria é obtida pelo Endpoint Security Framework (ESF) e logs de auditoria do macOS (ULS), que registram operações de arquivo, execução de processos e carregamento de extensões de kernel. Adversários investigam extensões de kernel para identificar controles de segurança instalados (ex: EDR, antivírus) que possam ser desativados ou contornados antes de operações mais avançadas. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1597](https://attack.mitre.org/detectionstrategies/DET0579#AN1597)*