# AN0547 — Analytic 0547 ## Descrição Este analítico detecta modificações em plugins de autorização responsáveis pela aplicação do MFA no macOS e correlaciona com sessões de login suspeitas sem prompts de MFA. A telemetria inclui FSEvents para modificações em `/Library/Security/SecurityAgentPlugins/`, Unified Logs para eventos de autorização, logs de OpenDirectory/SecurityAgent e FIM monitorando plugins de autenticação críticos. Plugins de autorização do macOS são um alvo de persistência avançado usado por malware sofisticado para bypassar MFA e modificar o fluxo de autenticação de forma transparente para o usuário. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0547](https://attack.mitre.org/detectionstrategies/DET0190#AN0547)*