# AN0999 — Analytic 0999 ## Descrição Este analítico detecta a cadeia comportamental de manipulação de permissões e atributos no macOS, incluindo execução de `chmod`, `chown`, `chflags` com parâmetros suspeitos, tentativas de bypass do System Integrity Protection (SIP) via modificações de permissão, manipulação de flags de arquivo (uchg, schg, hidden) para evasão ou persistência, e modificação de atributos estendidos (xattr) que afetam metadados de segurança. A telemetria utilizada inclui o Unified Log, eventos do EndpointSecurity framework para operações de filesystem e correlação com padrões de acesso subsequentes. A detecção é crítica para identificar malware macOS que remove o atributo de quarentena (`com.apple.quarantine`) ou manipula flags de imutabilidade para evitar que artefatos sejam removidos por ferramentas de remediação. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1222-file-and-directory-permissions-modification|T1222 — File and Directory Permissions Modification]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN0999](https://attack.mitre.org/detectionstrategies/DET0351#AN0999)*