# AN0308 — Analytic 0308 ## Descrição Esta analítica detecta comandos `chmod` que definem bits setuid/setgid combinados com o lançamento de binários em contexto de execução elevado (por exemplo, binários de propriedade de root lançados por usuários sem privilégios) no macOS. A telemetria inclui eventos do Endpoint Security Framework para operações `chmod` em binários seguidas de execução privilegiada e logs unificados do sistema para alterações de permissão suspeitas. A detecção é relevante pois a exploração de setuid em executáveis macOS é técnica de escalada de privilégios documentada em vulnerabilidades como CVE-2021-30892 (SIP bypass), usada para obter acesso root a partir de contextos de usuário comum. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1548-001-setuid-and-setgid|T1548.001 — Setuid and Setgid]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0308](https://attack.mitre.org/detectionstrategies/DET0110#AN0308)*