# AN0607 — Analytic 0607 ## Descrição Este analítico detecta modificações não autorizadas em binários Mach-O para incluir cabeçalhos `LC_LOAD_DYLIB` apontando para dylibs maliciosas, identificando a cadeia de mudanças de metadados de arquivos, remoção de assinaturas de código e cargas anômalas de dylibs em tempo de execução, correlacionadas com ausência de atualizações autorizadas e mapeamento de memória de bibliotecas não reconhecidas ou não assinadas. A telemetria inclui verificação de integridade de assinatura de código via `codesign`, logs do Endpoint Security Framework com eventos de carregamento de dylibs, e alertas do Sistema de Integridade de Proteção (SIP) para modificações não autorizadas em binários do sistema. Essa detecção é crítica pois a injeção de dylib via `LC_LOAD_DYLIB` é uma técnica persistente no macOS que permite execução de código malicioso em contexto de binários legítimos de confiança, contornando controles baseados em listas de processos permitidos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0607](https://attack.mitre.org/detectionstrategies/DET0216#AN0607)*