# AN0063 — Analytic 0063 ## Descrição Detecta uso de launchctl para parar serviços ou encerrar processos críticos de background (ex: securityd, com.apple.*), tipicamente seguido de ferramentas de linha de comando como rm ou diskutil, com a cadeia comportamental incluindo Terminal ou shell remoto + launchctl bootout/disable + encerramento de processo + modificação subsequente. A telemetria inclui o Unified Logging System do macOS (subsistema launchd), dados de EDR para encerramentos de serviço e correlação com operações destrutivas de arquivo ou disco. Esse analítico detecta ações destrutivas no macOS que precedem criptografia de dados por ransomware ou wiper, onde serviços de segurança são desabilitados antes da fase de impacto. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1489-service-stop|T1489 — Service Stop]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0063](https://attack.mitre.org/detectionstrategies/DET0021#AN0063)*