# AN1063 — Analytic 1063 ## Descrição Este analítico detecta a execução de extensões de kernel (KEXTs) não assinadas, manipulação de LaunchDaemons ou hooks de userspace em bibliotecas do sistema no macOS. Utiliza telemetria do Endpoint Security Framework (ESF), verificação de assinatura de código (codesign) e logs do System Integrity Protection (SIP) para identificar tentativas de comprometimento em nível de kernel ou sistema. A detecção é importante porque rootkits e implantes persistentes no macOS frequentemente abusam de KEXTs ou hooks de biblioteca para manter acesso e ocultar atividade maliciosa. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1014-rootkit|T1014 — Rootkit]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1063](https://attack.mitre.org/detectionstrategies/DET0377#AN1063)*