# AN0945 — Analytic 0945 ## Descrição Detecta invocação do comando `at` por usuário ou root para agendar um job, seguida de execução do job via LaunchServices e atividade sob `/usr/lib/cron/at`. A telemetria inclui eventos do Endpoint Security Framework (ESF), logs do subsistema unificado do macOS e monitoramento do daemon `atrun`. Embora o serviço `at` sejá raramente usado em macOS moderno, sua ativação pode indicar tentativas de persistência por malware sofisticado. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0945](https://attack.mitre.org/detectionstrategies/DET0333#AN0945)*