# AN1614 — Analytic 1614 ## Descrição Esta analítica detecta enumeração de contas de usuário em macOS por meio de ferramentas como `dscl`, `dscacheutil`, `id` ou inspeção de loginshell via linha de comando, técnicas utilizadas por adversários para mapear contas válidas antes de escalar privilégios ou criar backdoors. A telemetria inclui Unified Logs com foco em invocações do `dscl` e `dscacheutil` fora de processos de sistema legítimos, correlacionados com acesso a `/var/db/dslocal/nodes/Default/`. Esta detecção é relevante porque macOS utiliza o Directory Services como fonte de autoridade para contas de usuário, e sua enumeração revela alvos para ataques de roubo de credenciais e persistência. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1136-create-account|T1136 — Create Account]] --- *Fonte: [MITRE ATT&CK — AN1614](https://attack.mitre.org/detectionstrategies/DET0587#AN1614)*