# AN0644 — Analytic 0644 ## Descrição Monitora entradas do Gatekeeper, `spctl` e do Unified Log do macOS em busca de binários executados com assinaturas inesperadas ou não confiáveis. A telemetria inclui logs do sistema de autorização macOS, eventos de alteração de metadados de arquivos e registros do endpointd que capturam casos onde a válidação de assinatura é ignorada, alterada ou falha, mas o processo continua sendo executado. Essa analítica é essencial porque adversários visando macOS frequentemente modificam ou ignoram verificações do Gatekeeper para estabelecer persistência com binários não autorizados. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0644](https://attack.mitre.org/detectionstrategies/DET0230#AN0644)*