# AN0776 — Analytic 0776 ## Descrição Esta analítica detecta no macOS modificação anômala de binários de firmware EFI em /System/Library/CoreServices/ ou parâmetros NVRAM não associados a atualizações de SO, incluindo Unified Logs capturando chamadas aos comandos bless ou nvram executados de processos pai não confiáveis e carregamentos súbitos de kexts não assinados após adulteração de variáveis EFI. A telemetria inclui Unified Logs do macOS para atividade de nvram e bless, Endpoint Security Framework para modificações em diretórios de sistema e logs do System Integrity Protection (SIP) para tentativas de bypass. A detecção é importante para identificar ataques sofisticados de firmware macOS, como os usados em campanha ThunderSpy ou implantes de estado-nação que visam persistência pré-boot. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1601-modify-system-image|T1601 — Modify System Image]] --- *Fonte: [MITRE ATT&CK — AN0776](https://attack.mitre.org/detectionstrategies/DET0278#AN0776)*