# AN0183 — Analytic 0183 ## Descrição Detecta no macOS o uso de `nohup`, `disown` ou construções AppleScript para suprimir interrupções de processo, correlacionando comandos contendo `nohup` ou tarefas ocultas em segundo plano (`osascript` com execução persistente) com processos que sobrevivem ao logout do usuário. A telemetria inclui Unified Logs de criação e encerramento de processos, FSEvents para gravações em caminhos de LaunchAgent que estabelecem persistência e correlação entre sessões de login/logout e processos que continuam ativos após o encerramento. Essa analítica detecta técnicas de evasão de detecção baseada em sessão no macOS, onde adversários utilizam mecanismos nativos da plataforma para garantir persistência de implantes que sobrevivem a logouts sem necessidade de criar itens de inicialização permanentes que seriam mais facilmente detectados. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0183](https://attack.mitre.org/detectionstrategies/DET0067#AN0183)*