# AN0164 — Analytic 0164 ## Descrição Detecta manipulação de arquivos de sistema ou de aplicações nos diretórios `/Library`, `/System` ou em pastas de dados do usuário no macOS, usando FSEvents e Unified Logs para identificar processos anômalos que modificam arquivos plist, dados estruturados ou logs fora dos ciclos normais de atualização do sistema. A telemetria relevante inclui eventos FSEvents de criação/modificação de arquivos em caminhos sensíveis, registros Unified Logs de processos acessando diretórios protegidos e ausência de eventos de atualização esperados (ex.: MRT, softwareupdaté). Essa detecção é importante porque adversários frequentemente modificam plist de persistência, preferências de sistema e logs do macOS para estabelecer mecanismos de persistência ocultos ou apagar rastros de comprometimento. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0164](https://attack.mitre.org/detectionstrategies/DET0059#AN0164)*