# AN1047 — Analytic 1047 ## Descrição Este analítico detecta chamadas suspeitas às APIs `sysctl` ou `ptrace` usadas para verificar se um processo está sendo depurado no macOS. Utiliza telemetria do Endpoint Security Framework (ESF) e logs unificados do sistema para monitorar processos que inundam equivalentes de `OutputDebugString` ou geram exceções anômalas para evadir análise. A detecção é fundamental para identificar malware que implementa técnicas anti-análise específicas do macOS, frequentemente utilizadas por adware avançado e spyware comercial direcionado à plataforma. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1047](https://attack.mitre.org/detectionstrategies/DET0371#AN1047)*