# AN0143 — Analytic 0143 ## Descrição Detecta atividade sudo com NOPASSWD em /etc/sudoers ou desativação de tty_tickets no macOS, seguida de comandos privilegiados imediatos como echo 'Defaults !tty_tickets' >> /etc/sudoers, indicando modificação da configuração de autenticação para escalação de privilégio silenciosa. A telemetria inclui o Endpoint Security Framework para monitorar abertura e modificação de /etc/sudoers, logs do Unified Logging para rastrear invocações de sudo, e correlação com processos que modificam a configuração de sudo seguidos de execução com privilégios elevados sem prompt de autenticação. Este analítico detecta escalação de privilégio persistente via sudo misconfiguration, técnica observada em campanhas de malware macOS como Proton e FruitFly. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0143](https://attack.mitre.org/detectionstrategies/DET0052#AN0143)*