# AN1176 — Analytic 1176 ## Descrição Monitora execuções do comando `pmset` que alteram parâmetros de sono, hibernação ou standby no macOS, correlacionando modificações inesperadas em `/Library/Preferences/SystemConfiguration/com.apple.PowerManagement.plist` com atividade de processos. A telemetria inclui Unified Logs do macOS, eventos de modificação de arquivos de preferências via Endpoint Security Framework e logs de processo para correlacionar comandos pmset com mudanças subsequentes de comportamento do sistema. Essa detecção é relevante porque adversários manipulam configurações de energia no macOS para garantir que sistemas de usuário não durmam, mantendo canais C2 e backdoors ativos mesmo durante períodos de inatividade. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] --- *Fonte: [MITRE ATT&CK — AN1176](https://attack.mitre.org/detectionstrategies/DET0417#AN1176)*