# AN0280 — Analytic 0280 ## Descrição Esta analítica detecta a execução de scripts Lua via interpretadores nativos ou de terceiros no macOS, encadeada com binários não assinados ou linhagem de processo pai inesperada. A telemetria inclui eventos do Endpoint Security Framework para execução de processos e válidação de assinatura de código (Gatekeeper), correlacionados com linhagem de processo pai suspeita. A detecção é relevante pois o uso de Lua como linguagem de scripting embutida em ferramentas de segurança ou produtos comerciais cria vetores de execução que bypassam controles de assinatura de código do macOS. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0280](https://attack.mitre.org/detectionstrategies/DET0101#AN0280)*