# AN1136 — Analytic 1136 ## Descrição Detecta o abuso de atributos estendidos (xattrs) no macOS para ocultar payloads em chaves `com.apple.*` ou personalizadas, monitorando uso suspeito do comando `xattr` com flags `-w` (escrita) e `-p` (leitura), especialmente quando seguido de execução de interpretadores como bash, Python ou osascript. A telemetria inclui Unified Logs, eventos de modificação de arquivos (ES_EVENT_TYPE_NOTIFY_SETEXTATTR via Endpoint Security) e correlação com processos que extraem e executam conteúdo de atributos. Essa técnica permite a adversários armazenar código malicioso em metadados de arquivos legítimos, contornando verificações de integridade baseadas em conteúdo e Gatekeeper. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1136](https://attack.mitre.org/detectionstrategies/DET0406#AN1136)*