# AN0135 — Analytic 0135 ## Descrição Detecta a remoção de logs de Remote Login ou Screen Sharing no Unified Logging do macOS, exclusão de configurações com.apple.UTun, ou uso suspeito de Terminal para executar rm ou sudo pfctl -F all visando limpar o estado ou histórico de configuração de rede. A telemetria inclui o Endpoint Security Framework para eventos de exclusão de arquivo em diretórios de log do sistema, o Unified Logging (subsistema com.apple.pfctl) para rastrear modificações de regras de firewall, e correlação com sessões de acesso remoto recentes via Screen Sharing ou SSH. Este analítico detecta comportamento anti-forensics no macOS onde atacantes removem evidências de acesso remoto após completar objetivos de exfiltração ou reconhecimento. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0135](https://attack.mitre.org/detectionstrategies/DET0049#AN0135)*