# AN0011 — Analytic 0011 ## Descrição Detecta modificação das variáveis de ambiente PATH ou HOME por meio de arquivos de configuração de shell, launchctl ou entradas em /etc/paths.d, combinada com execução de processos a partir de diretórios controlados pelo atacante, correlacionando alterações de arquivo em /etc/paths.d com execução de processos que resolvem para binários maliciosos. A telemetria inclui logs do Endpoint Security Framework do macOS, eventos de modificação de arquivos de sistema e dados do Unified Logging System. Esse analítico detecta uma técnica de persistência e evasão onde adversários preparam caminhos maliciosos no macOS para interceptar chamadas de binários do sistema. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] --- *Fonte: [MITRE ATT&CK — AN0011](https://attack.mitre.org/detectionstrategies/DET0004#AN0011)*