# AN0915 — Analytic 0915 ## Descrição Este analytic identifica binários Mach-O dropped em diretórios temporários com tamanho anormalmente grande ou padrões de padding, seguidos por escalada de privilégio, `exec` ou mapeamento de memória de outros processos. A telemetria inclui logs do Endpoint Security Framework, monitoramento de criação de arquivos em `/tmp` e `/var/folders`, e rastreamento de chamadas de mapeamento de memória. Em macOS, binários com padding deliberado são utilizados para evadir o Gatekeeper e ferramentas de análise de código estático, representando um vetor frequente em implants de espionagem direcionados a alvos Apple. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1027-001-binary-padding|T1027.001 — Binary Padding]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1553-001-gatekeeper-bypass|T1553.001 — Gatekeeper Bypass]] --- *Fonte: [MITRE ATT&CK — AN0915](https://attack.mitre.org/detectionstrategies/DET0322#AN0915)*