# AN0242 — Analytic 0242 ## Descrição Esta analítica detecta a execução de `mdfind`, `launchctl` ou enumeração via GUI (por exemplo, `/Applications/Time Machine.app`) combinada com o uso de `find`, `grep` ou `system_profiler` na linha de comando para identificar ferramentas de backup como Time Machine, Carbon Copy Cloner ou Backblaze. A telemetria é baseada em logs de execução de processos do Terminal ou scripts de pós-exploração. A detecção é importante porque atacantes mapeiam soluções de backup em macOS antes de desativá-las ou corrompê-las para maximizar o impacto de ransomware. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0242](https://attack.mitre.org/detectionstrategies/DET0088#AN0242)*