# AN0806 — Analytic 0806 ## Descrição Esta analítica detecta adições ou modificações de jobs no crontab via utilitário `crontab` ou edições diretas em macOS, especialmente aquelas criadas por usuários interativos executando scripts ocultos ou renomeados. A telemetria utilizada inclui logs do EndpointSecurity Framework (ESF) e auditd para monitorar acesso aos arquivos de crontab do sistema. Esta detecção é relevante pois adversários em macOS utilizam crontabs como vetor de persistência silenciosa, frequentemente disfarçando scripts maliciosos como tarefas legítimas de manutenção do sistema. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1053-003-cron|T1053.003 — Cron]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN0806](https://attack.mitre.org/detectionstrategies/DET0290#AN0806)*