# AN1082 — Analytic 1082 ## Descrição Este analítico identifica o uso de sh/bash/zsh em contexto suspeito no macOS, como scripts de usuário iniciados a partir de aplicações não padrão (como Preview.app), embutidos em LaunchDaemons ou executados fora do Terminal.app. Monitora uso indevido em Automator, LaunchAgents ou shell executado via NSAppleScript. Utiliza telemetria do Endpoint Security Framework (ESF) e análise de linhagem de processos para identificar execuções de shell anômalas. A detecção é importante porque malware no macOS frequentemente usa esses vetores de shell não convencionais para evitar alertas de ferramentas de segurança focadas em invocações diretas de Terminal. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] --- *Fonte: [MITRE ATT&CK — AN1082](https://attack.mitre.org/detectionstrategies/DET0384#AN1082)*