# AN0736 — Analytic 0736 ## Descrição Esta analítica detecta abuso do launchctl no macOS para executar ou gerenciar Launch Agents e Daemons, correlacionando criação ou modificação suspeita de arquivos plist nos diretórios LaunchAgents/LaunchDaemons com execução subsequente do comando launchctl. A telemetria inclui Unified Logs do macOS (subsistema com.apple.launchd), eventos do Endpoint Security Framework e monitoramento de sistema de arquivos para modificações em /Library/LaunchAgents, /Library/LaunchDaemons e ~/Library/LaunchAgents. A detecção é essencial porque o mecanismo de Launch Agents/Daemons é o vetor de persistência mais comum em malware para macOS. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1569-system-services|T1569 — System Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0736](https://attack.mitre.org/detectionstrategies/DET0265#AN0736)*