# AN0468 — Analytic 0468 ## Descrição Detecta adversários limpando histórico de shell em macOS usando `history -c` ou deletando/alterando `~/.zsh_history` ou `~/.bash_history`, com foco em sessões com histórico ausente ou apagado após atividade de comando. A telemetria necessária inclui Endpoint Security Framework do macOS para monitorar acesso e modificação de arquivos de histórico de shell, logs unificados para rastrear execução de comandos relacionados a limpeza de histórico e alertas de integridade de arquivo para arquivos de histórico de shell em diretórios home. Essa detecção apoia a identificação de malware e operadores de APT em macOS que realizam limpeza anti-forense para remover evidências de execução de comandos maliciosos durante investigações post-incident. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1070-003-indicator-removal-clear-command-history|T1070.003 — Clear Command History]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0468](https://attack.mitre.org/detectionstrategies/DET0165#AN0468)*