# AN0386 — Analytic 0386 ## Descrição Detecta invocação anômala de `diskutil`, `asr` ou APIs de baixo nível (IOKit) para apagar ou reparticionar discos no macOS, correlacionando execução de processos com entradas nos logs unificados mostrando operações destrutivas de disco. A telemetria inclui logs unificados do macOS para operações de disco, eventos do Endpoint Security Framework e monitoramento de chamadas de framework IOKit por processos sem privilégios esperados. Essa analítica é relevante porque ataques de limpeza de dados em macOS são raros mas de alto impacto, frequentemente combinados com roubo de credenciais ou sabotagem direcionada a ambientes de desenvolvimento e design. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] --- *Fonte: [MITRE ATT&CK — AN0386](https://attack.mitre.org/detectionstrategies/DET0137#AN0386)*