# AN1037 — Analytic 1037 ## Descrição Este analítico detecta adulteração de hardware e firmware Mac analisando logs do Unified Log, eventos do EndpointSecurity e verificações do Apple Mobile File Integrity (AMFI), identificando incompatibilidades de assinatura de firmware no processo de boot, alteração de política de Secure Boot, novos drivers EFI ou dispositivos de hardware no inventário e carregamento de extensões de sistema por Developer IDs não aprovados após o boot. A telemetria utilizada inclui logs do `bputil`, relatórios do `spctl`, saída do `ioreg` para inventário de hardware e eventos do AMFI via `log show --predicaté 'eventMessage contains "AMFI"'`. Esta detecção é relevante para identificar ataques sofisticados de firmware em dispositivos Mac de alto valor — como executivos, jornalistas e diplomatas frequentemente alvo de spyware comercial avançado que persiste ao nível de firmware. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1601-modify-system-image|T1601 — Modify System Image]] --- *Fonte: [MITRE ATT&CK — AN1037](https://attack.mitre.org/detectionstrategies/DET0368#AN1037)*