# AN0682 — Analytic 0682 ## Descrição Detecta hooks de login persistentes configurados via `defaults` ou modificações de plist que resultam na execução de scripts ou binários no login do usuário, quebrando a linhagem esperada de processos pai-filho. A telemetria inclui FSEvents, o Unified Log do macOS e monitoramento de plist que capturam modificações em `~/Library/Preferences/com.apple.loginwindow.plist` e em plists de LaunchAgent/LaunchDaemon com comandos de hook de login. Essa analítica é importante pois hooks de login no macOS fornecem ao adversário uma forma de persistência difícil de detectar que executa código com os privilégios do usuário a cada novo login, frequentemente usada por stalkerware e implantes de espionagem. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] --- *Fonte: [MITRE ATT&CK — AN0682](https://attack.mitre.org/detectionstrategies/DET0244#AN0682)*