# AN0766 — Analytic 0766 ## Descrição Esta analítica observa criação ou modificação de arquivos plist de LaunchAgent/LaunchDaemon no macOS combinada com execução anômala de payload plist após logon do usuário. A telemetria inclui Endpoint Security Framework para operações de arquivo em diretórios LaunchAgents/LaunchDaemons, Unified Logs do macOS para atividade do launchd e monitoramento de criação de processos para executáveis referênciados em plists. A detecção é fundamental em macOS porque o mecanismo LaunchAgent/LaunchDaemon é o principal vetor de persistência para malware como XCSSET, AdLoad e outros ameaças direcionadas ao ecossistema Apple. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1569-system-services|T1569 — System Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0766](https://attack.mitre.org/detectionstrategies/DET0274#AN0766)*