# AN0013 — Analytic 0013 ## Descrição Detecta execução de utilitários nativos do macOS renomeados ou relocados com nomes incomuns ou caminhos fora do padrão (ex: `osascript`, `bash` ou `curl` renomeados), técnica usada para evadir detecções baseadas em nome de processo e controles de segurança. A telemetria inclui eventos de execução de processos com metadados de binário Mach-O (hash, assinatura de código), dados do Endpoint Security Framework e análise de anomalias em árvores de processos. Esse analítico é importante em ambientes macOS onde ferramentas legítimas do sistema são frequentemente renomeadas por adversários para contornar listas de permissão baseadas em nome de processo. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] --- *Fonte: [MITRE ATT&CK — AN0013](https://attack.mitre.org/detectionstrategies/DET0005#AN0013)*