det0396-detect-access-to-macos-keychain-for-credential-theft

# DET0396 — Detect Access to macOS Keychain for Credential Theft ## Descrição O macOS Keychain é o sistema centralizado de gerenciamento de credenciais do macOS, armazenando senhas de contas de internet, certificados digitais, chaves privadas SSH e GPG, tokens de autenticação, e senhas de aplicações. O Keychain de login (`login.keychain`) é desbloqueado automaticamente com a senha do usuário, tornando todas as credenciais armazenadas acessíveis a processos no contexto do usuário. Adversários com acesso ao sistema exploram essa conveniência para extrair credenciais sem interação adicional do usuário via ferramentas como `security dump-keychain`, ou acessando diretamente os arquivos de banco de dados do Keychain. Famílias de malware macOS como [[s0658-xcsset|XCSSET]], [[Atomic macOS Stealer]] (AMOS), e stealers distribuídos via aplicações trojanizadas têm como alvo prioritário o Keychain, exportando credenciais de browsers (Safari, Chrome), email (Mail.app), contas de cloud e VPNs corporativas. O acesso pode ocorrer via API legítima do Security framework, leitura direta dos arquivos `.keychain-db` em `~/Library/Keychains/`, ou uso do utilitário de linha de comando `security`. A detecção monitora invocações do utilitário `security` com subcomandos de dump/export, acesso de leitura a arquivos `.keychain-db` por processos não-autorizados, e chamadas à Security framework API para dump de itens do keychain por aplicações de baixa reputação ou sem histórico de acesso ao Keychain. ## Indicadores de Detecção - `security dump-keychain -d` ou `security find-generic-password -a` executados por processos não-legítimos - Leitura direta dos arquivos `~/Library/Keychains/*.keychain-db` por processos não-autorizados - Aplicação não-assinada chamando `SecKeychainFindGenericPassword` ou `SecItemCopyMatching` - Processo em `/tmp` ou `Downloads` acessando APIs do Security framework relacionadas a credenciais - Criação de arquivo contendo dump de credenciais seguida de conexão de rede (exfiltração) - `security list-keychains` seguido de `security unlock-keychain` por processo suspeito ## Técnicas Relacionadas - [[T1555001-keychain|T1555.001 — Keychain]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[T1552001-credentials-in-files|T1552.001 — Credentials In Files]] - [[T1548004-elevated-execution-with-prompt|T1548.004 — Elevated Execution with Prompt]] ## Analytics Relacionadas - [[an1112-analytic-1112|AN1112 — Analytic 1112]] --- *Fonte: [MITRE ATT&CK — DET0396](https://attack.mitre.org/detectionstrategies/DET0396)*