# AN1039 — Analytic 1039 ## Descrição Este analítico detecta registros não autorizados de comandos `trap` em arquivos de inicialização de shell do macOS (`.zprofile`, `.bash_profile`, `.zshrc`) seguidos de cadeias de execução durante interação do usuário com o terminal, usando Unified Logs e telemetria EDR para correlacionar análise de comandos shell e anomalias na árvore de processos. A telemetria utilizada inclui logs do Unified Log para sessões de shell do Terminal.app e iTerm2, eventos do EndpointSecurity framework para modificações em arquivos de inicialização em `~` e análise de Process Tree para identificar processos filhos anômalos durante sessões de terminal. A detecção é relevante para macOS corporativo, onde scripts de inicialização de shell são raramente modificados e qualquer mudança indicando um `trap` deve ser investigada como possível indicador de comprometimento por malware ou acesso não autorizado à conta do usuário. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN1039](https://attack.mitre.org/detectionstrategies/DET0369#AN1039)*