# AN0408 — Analytic 0408 ## Descrição Detecta modificações nas regras do firewall PF via `pfctl`, `socketfilterfw` ou `defaults write` em `com.apple.alf`, incluindo desabilitação completa de perfis de firewall ou inclusão de processos maliciosos na lista de permissões. A telemetria necessária inclui logs unificados do macOS (Unified Logs), monitoramento de execução de processos via Endpoint Security Framework e auditoria de preferências do sistema para alterações de configuração de segurança. Essa detecção é relevante porque adversários em macOS frequentemente desabilitam o Application Layer Firewall (ALF) para permitir comúnicações de saída de malware sem bloqueios. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1562-004-impair-defenses-disable-or-modify-system-firewall|T1562.004 — Disable or Modify System Firewall]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-002-command-and-scripting-interpreter-applescript|T1059.002 — AppleScript]] - [[t1547-login-and-startup-items|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0408](https://attack.mitre.org/detectionstrategies/DET0145#AN0408)*