# AN0836 — Analytic 0836 ## Descrição Esta analítica detecta uma cadeia comportamental de modificação de permissões específica do macOS: execução de chmod/chown/chflags, tentativas de bypass do System Integrity Protection (SIP), modificações de atributos estendidos (xattr), correlação de logs unificados com eventos do sistema de arquivos, e acesso subsequente a recursos anteriormente restritos. A telemetria utilizada inclui o Unified Log do macOS e o EndpointSecurity Framework para monitorar operações de modificação de atributos e flags do sistema de arquivos. Esta detecção é relevante para identificar implantes macOS avançados que tentam contornar proteções do sistema operacional para estabelecer persistência em áreas protegidas pelo SIP. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1222-file-and-directory-permissions-modification|T1222 — File and Directory Permissions Modification]] - [[t1222-002-linux-file-and-directory-permissions|T1222.002 — Linux and Mac File and Directory Permissions Modification]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN0836](https://attack.mitre.org/detectionstrategies/DET0299#AN0836)*