# AN0951 — Analytic 0951 ## Descrição Monitora modificações em binários em `/Applications` e caminhos de bibliotecas do sistema no macOS. Detecta binários não assinados ou com assinatura indevida executados após modificação, e rastreia tentativas de bypass do Gatekeeper ou notarização vinculadas a binários modificados. A telemetria inclui eventos do ESF, logs de verificação de código do sistema e alertas de Gatekeeper. Essa analítica é fundamental para detectar ataques que modificam aplicativos legítimos para incluir payloads maliciosos, burlando verificações de integridade do macOS. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1554-compromise-client-software-binary|T1554 — Compromise Client Software Binary]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0951](https://attack.mitre.org/detectionstrategies/DET0336#AN0951)*