# AN0997 — Analytic 0997 ## Descrição Este analítico detecta a execução de runtimes de scripting legados no macOS (versões antigas de Python, Bash ou PowerShell Core sem auditoria) e o monitoramento de alterações nos arquivos EFI ou de boot do sistema que indicam downgrade de persistência ou bypass de funcionalidades de integridade do sistema. A telemetria utilizada inclui logs do Unified Log, eventos do EndpointSecurity framework para execução de binários, e monitoramento de modificações no diretório `/System/Library/CoreServices` e partição EFI. A detecção é relevante para identificar técnicas de evasão que exploram componentes legados do macOS para contornar o AMFI (Apple Mobile File Integrity) e outras proteções de integridade introduzidas em versões mais recentes do sistema operacional. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0997](https://attack.mitre.org/detectionstrategies/DET0350#AN0997)*