# AN0115 — Analytic 0115 ## Descrição Detecta a exclusão de launch agents em ~/Library/LaunchAgents/ e launch daemons em /Library/LaunchDaemons/ no macOS, especialmente após execução de processo suspeito ou quando associada a métodos conhecidos de persistência. A telemetria abrange o Endpoint Security Framework para eventos de exclusão de arquivo (ES_EVENT_TYPE_NOTIFY_UNLINK), logs do Unified Logging (subsistema launchd) para rastrear remoções de agentes, e correlação com atividade de processo que criou o artefato em sessão anterior. Este analítico é relevante para detectar implantes macOS que se auto-removem após completar seus objetivos, comportamento comum em campanhas de espionagem que buscam minimizar a presença detectável no sistema. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0115](https://attack.mitre.org/detectionstrategies/DET0040#AN0115)*