# AN1218 — Analytic 1218 ## Descrição Detecta movimentação de binários para `~/Library/`, `/System/` ou locais de bundle de aplicações no macOS, especialmente após execução inicial ou download via Safari ou Mail. A telemetria inclui eventos de escrita de arquivos em locais protegidos do sistema correlacionados com o histórico de download de aplicações. Essa análise é relevante porque movimentação de binários para locais de sistema é um indicativo de tentativa de persistência ou escalada de privilégios em macOS. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1543.001-create-or-modify-system-process-launch-agent-and-launch-daemon|T1543.001 — Launch Agent]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN1218](https://attack.mitre.org/detectionstrategies/DET0439#AN1218)*