# AN0918 — Analytic 0918 ## Descrição Este analytic detecta tentativas de manipulação de EFI/firmware via carregamentos anômalos de driver, kexts não assinadas ou variáveis NVRAM adulteradas associadas à configuração de firmware de componentes no macOS. A telemetria inclui eventos do Endpoint Security Framework, logs de carregamento de kext e alertas do SIP (System Integrity Protection) relacionados a modificações de firmware. Em macOS, a manipulação de EFI é uma das técnicas de persistência mais sofisticadas, raramente observada mas associada a implants de alto nível como o DoubleAgent e implants de nação-estado, capaz de sobreviver a reinstalações do sistema operacional. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1542-001-system-firmware|T1542.001 — System Firmware]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1553-001-gatekeeper-bypass|T1553.001 — Gatekeeper Bypass]] --- *Fonte: [MITRE ATT&CK — AN0918](https://attack.mitre.org/detectionstrategies/DET0323#AN0918)*