det0335-detect-abuse-of-xpc-services-t1559003

# DET0335 — Detect Abuse of XPC Services (T1559.003) ## Descrição Esta estratégia detecta o abuso de XPC Services — mecanismo de comunicação entre processos (IPC) nativo do macOS — para executar código com privilégios elevados ou se comunicar com processos privilegiados sem passar pelos controles de segurança padrão. A técnica [[T1559.003-xpc-services]] explora serviços XPC mal configurados ou com verificação de identidade de cliente insuficiente. A detecção foca em processos não-privilegiados estabelecendo conexões XPC com serviços de sistema sensíveis, especialmente quando seguido de execução de comandos privilegiados, modificação de configurações de segurança ou persistência. O framework Endpoint Security da Apple (ES Framework) e logs de auditoria do macOS são as fontes primárias de telemetria. Grupos como APT que atacam macOS — incluindo ataques a profissionais de segurança e usuários corporativos Apple — exploram XPC Services para privilege escalation e bypass de controles de TCC (Transparency, Consent, and Control). A detecção é especialmente relevante em ambientes com alta adoção de macOS como startups de tecnologia e agências no Brasil. ## Indicadores de Detecção - Processos de usuário estabelecendo conexões XPC a serviços de sistema sensíveis (launchd, authd, SystemExtensions) - Mensagens XPC com seletores incomuns enviadas a serviços de alto privilégio - Aplicações fora do sandbox tentando conectar a serviços XPC de sistema via `xpc_connection_creaté` - Falhas de autenticação XPC em série para o mesmo serviço (tentativas de bypass) - Processos de terceiros comúnicando-se com XPC helpers de aplicações Apple (CloudKit, Security.framework) - Uso de ferramentas de inspeção XPC (xpctool) por processos não-administrativos ## Técnicas Relacionadas - [[T1559.003-xpc-services]] — técnica primária - [[t1559-inter-process-communication|T1559-inter-process-commúnication]] — categoria pai de IPC - [[t1548-abuse-elevation-control-mechanism|T1548-abuse-elevation-control-mechanism]] — escalação de privilégio via XPC - [[T1548.001-setuid-setgid]] — escalação de privilégio em macOS relacionada - [[t1106-native-api|T1106-native-api]] — uso de APIs nativas do macOS para abusar XPC ## Analytics Relacionadas - [[an0948-analytic-0948|AN0948 — Analytic 0948]] --- *Fonte: [MITRE ATT&CK — DET0335](https://attack.mitre.org/detectionstrategies/DET0335)*