# AN0060 — Analytic 0060 ## Descrição Correlaciona modificações em arquivos de configuração do shell zsh (ex: ~/.zshrc, ~/.zlogin, /etc/zprofile) com execução de binários não autorizados ou atividade de rede inesperada disparada na inicialização do Terminal.app, detectando persistência via configuração de shell no macOS. A telemetria inclui o Endpoint Security Framework do macOS para modificação de arquivos de configuração de shell, análise de processos filhos criados na inicialização do Terminal e correlação com conexões de rede de saída. Esse analítico é importante para macOS moderno onde zsh é o shell padrão desde o Catalina, sendo frequentemente alvo de implantes que inserem comandos no ~/.zshrc para persistência a cada nova sessão de terminal. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0060](https://attack.mitre.org/detectionstrategies/DET0020#AN0060)*