# AN0026 — Analytic 0026 ## Descrição Correlaciona modificações em plists do launchd com execução subsequente não autorizada de scripts ou árvores de processos pai-filho anômalas envolvendo agentes de usuário, detectando mecanismos de persistência que sobrevivem a reinicializações no macOS. A telemetria inclui logs do Endpoint Security Framework para criação/modificação de arquivos plist, eventos de carregamento de LaunchDaemon/LaunchAgent e dados de EDR que rastreiam hierarquias de processos originados do launchd. Esse analítico é crítico para macOS pois o launchd é o mecanismo de persistência mais utilizado por malware nessa plataforma, incluindo adwares, stealers e implantes APT. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0026](https://attack.mitre.org/detectionstrategies/DET0010#AN0026)*