# AN0884 — Analytic 0884 ## Descrição Este analytic detecta a invocação anômala de `diskutil` ou `asr` com flags destrutivas como `eraseDisk` ou `zeroDisk`, bem como chamadas de baixo nível ao IOKit que sobrescrevem conteúdo bruto do disco. A telemetria utilizada inclui logs unificados do sistema (Unified Logs), eventos de execução de processos privilegiados e operações de apagamento de disco. A correlação entre execução elevada e operações de apagamento é essencial para identificar ataques de destruição de dados em macOS, especialmente em contextos onde adversários buscam eliminar evidências forenses após uma intrusão. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1561-001-disk-content-wipe|T1561.001 — Disk Content Wipe]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1006-direct-volume-access|T1006 — Direct Volume Access]] --- *Fonte: [MITRE ATT&CK — AN0884](https://attack.mitre.org/detectionstrategies/DET0316#AN0884)*