# AN0829 — Analytic 0829 ## Descrição Esta analítica detecta invocações anômalas de `diskutil` ou `asr` que modificam tabelas de partição ou inicializam dispositivos raw no macOS. A telemetria utilizada inclui chamadas de sistema IOKit direcionadas a cabeçalhos de disco ou setores de boot EFI, correlacionadas com elevação de privilégios. Esta detecção é relevante para identificar ataques destrutivos a endpoints macOS corporativos, onde wipers podem ser entregues como parte de implantes APT para destruição de evidências ou sabotagem de sistemas em investigações. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1561-002-disk-structure-wipe|T1561.002 — Disk Structure Wipe]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN0829](https://attack.mitre.org/detectionstrategies/DET0297#AN0829)*