# AN0394 — Analytic 0394 ## Descrição Detecta remoção de artefatos adversariais via `rm`, `unlink` ou ferramentas seguras no macOS, com foco em sessões de shell, arquivos temporários e LaunchAgents ou diretórios do sistema modificados recentemente. A telemetria inclui eventos do Endpoint Security Framework para operações de exclusão de arquivo, análise de acesso a LaunchAgents por processos suspeitos e correlação temporal com atividade maliciosa anterior. Essa analítica é importante para macOS porque adversários que comprometem endpoints Apple frequentemente removem artefatos de persistência configurados (LaunchAgents, scripts de login) após exfiltrar dados para evitar detecção durante varreduras de segurança subsequentes. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0394](https://attack.mitre.org/detectionstrategies/DET0140#AN0394)*