# AN0435 — Analytic 0435 ## Descrição Detecta adversários posicionando ou modificando dylibs maliciosas em locais pesquisados por aplicações legítimas, identificando criação ou modificação inesperada de arquivos dylib em caminhos de bundles de aplicações, carregamentos incomuns de módulos por processos em comparação a baselines históricas e execução de aplicações carregando dylibs de diretórios suspeitos como `/tmp` ou caminhos controlados pelo usuário. A telemetria necessária inclui Endpoint Security Framework do macOS para monitorar carregamento de módulos por processo, logs unificados para rastrear modificações em bundles de aplicações e alertas de integridade de arquivos para diretórios de bibliotecas do sistema. Essa detecção é crítica em macOS porque o sequestro de dylib é uma técnica de persistência sofisticada que abusa do mecanismo legítimo de carregamento de bibliotecas dinâmicas para executar código malicioso no contexto de aplicações confiáveis. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1574-006-hijack-execution-flow-dynamic-linker-hijacking|T1574.006 — Dynamic Linker Hijacking]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1546-boot-or-logon-initialization-scripts|T1546 — Event Triggered Execution]] - [[t1059-002-command-and-scripting-interpreter-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0435](https://attack.mitre.org/detectionstrategies/DET0152#AN0435)*