# AN0625 — Analytic 0625 ## Descrição Este analítico detecta execução de script ou binário iniciada via JAMF, Munki ou agentes MDM customizados fora do baseline estabelecido, ou o JAMF lançando novos processos Terminal ou `osascript` a partir de payloads de comandos remotos não autorizados. A telemetria inclui logs do JAMF Pro com registros de execução de política e script, logs do macOS Unified Logging com processos originados por agentes MDM e alertas de detecção de endpoint para `osascript` ou Terminal spawned a partir de processos MDM fora de janelas de manutenção. Essa detecção é crítica pois o JAMF é a plataforma MDM dominante em ambientes macOS corporativos, e seu comprometimento permite distribuição de payloads maliciosos para toda a frota de Macs gerenciados com privilégios elevados e sem interação do usuário. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0625](https://attack.mitre.org/detectionstrategies/DET0223#AN0625)*