# AN0306 — Analytic 0306 ## Descrição Esta analítica monitora modificações inesperadas de arquivos plist em diretórios de persistência ou configuração (como `~/Library/LaunchAgents`, `~/Library/Preferences`, `/Library/LaunchDaemons`), detectando quando modificações são seguidas pela execução de binários novos ou inesperados, rastreando o uso de utilitários como `defaults`, `plutil` ou editores de texto que alteram arquivos Info.plist. A telemetria inclui eventos do Endpoint Security Framework para operações de arquivo em diretórios plist e correlação com inicializações de processos ou serviços referênciando o plist modificado. A detecção é crítica pois a modificação de plists é o método de persistência mais comum em macOS, usado consistentemente por adware, stalkerware e APTs que visam a plataforma. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1547-011-plist-modification|T1547.011 — Plist Modification]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1053-004-launchd|T1053.004 — Launchd]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0306](https://attack.mitre.org/detectionstrategies/DET0109#AN0306)*