# AN0313 — Analytic 0313 ## Descrição Esta analítica detecta a monitoração de modificação e execução de scripts de login hook ou LaunchAgents/LaunchDaemons utilizados para persistência no macOS. A telemetria inclui eventos do Endpoint Security Framework para operações em caminhos de LaunchAgent/LaunchDaemon e logs de auditoria para execução de login hooks via `com.apple.loginwindow`. A detecção é crítica pois LaunchAgents e login hooks são os mecanismos de persistência mais explorados em malwares macOS, incluindo campanhas de adware em larga escala e APTs que visam usuários corporativos Apple. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1547-011-plist-modification|T1547.011 — Plist Modification]] - [[t1053-004-launchd|T1053.004 — Launchd]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0313](https://attack.mitre.org/detectionstrategies/DET0112#AN0313)*