# AN0249 — Analytic 0249 ## Descrição Esta analítica correlaciona montagens de volumes removíveis via disk arbitration com eventos de I/O de arquivos nesse volume, seguidos rapidamente pela execução do mesmo arquivo após a inserção da mídia. A telemetria utilizada inclui eventos do Endpoint Security Framework relacionados a montagem de volumes e execução de processos no macOS. A detecção é relevante pois mídias físicas continuam sendo vetor de ataque em ambientes corporativos macOS onde o autorun é equivalente ao comportamento observado em scripts de LaunchAgent. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] - [[t1092-communication-through-removable-media|T1092 — Commúnication Through Removable Media]] - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0249](https://attack.mitre.org/detectionstrategies/DET0090#AN0249)*