# AN1244 — Analytic 1244 ## Descrição Detecta comandos kextload iniciados pelo usuário ou modificações em /Library/Extensions no macOS, correlacionando com alterações no banco de dados KextPolicy ou identidades de assinatura de desenvolvedor não autorizadas. A telemetria inclui logs unificados do macOS registrando carregamento de extensões de kernel e tentativas de desabilitar o System Integrity Protection (SIP). Essa análise é relevante para identificar rootkits de kernel no macOS que se instalam como extensões de kernel para obter controle privilegiado do sistema. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1547.006-kernel-modules-and-extensions|T1547.006 — Kernel Modules and Extensions]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN1244](https://attack.mitre.org/detectionstrategies/DET0450#AN1244)*