# AN0047 — Analytic 0047 ## Descrição Detecta encerramento não autorizado de daemons do sistema ou comandos emitidos via launchctl ou kill para parar serviços concorrentes ou processos de malware rival, monitorando logs unificados e telemetria de EDR para modificações ou encerramentos incomuns de serviços. A telemetria inclui o Unified Logging System do macOS (subsistema com.apple.launchd), dados de EDR para modificações de serviços e correlação com contexto de processo para identificar invocações suspeitas de launchctl bootout ou kill. Esse analítico é relevante no macOS onde adversários com persistência via LaunchDaemon frequentemente desabilitam serviços de segurança ou eliminam malware concorrente para garantir exclusividade de acesso. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1489-service-stop|T1489 — Service Stop]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0047](https://attack.mitre.org/detectionstrategies/DET0015#AN0047)*