# AN1126 — Analytic 1126 ## Descrição Detecta a criação ou modificação de arquivos `.plist` em `/Library/LaunchDaemons/`, especialmente aqueles com caminhos suspeitos nos campos `Program` ou `ProgramArguments`, combinada com atividade de execução sob launchd com privilégios elevados. A telemetria utilizada inclui Unified Logs correlacionados com monitoramento de arquivos e telemetria de processos para construir a cadeia de eventos de persistência. Esse analítico é fundamental porque LaunchDaemons são executados no boot do sistema com privilégios de root, tornando-os um mecanismo de persistência de alto impacto em macOS. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1126](https://attack.mitre.org/detectionstrategies/DET0401#AN1126)*