# AN1248 — Analytic 1248 ## Descrição Detecta modificação de atributos de assinatura de código, flags de Gatekeeper/quarentena e inserção de novos certificados de confiança via security add-trusted-cert no macOS, incluindo uso de xattr para remover flags de quarentena de binários baixados. A telemetria inclui logs unificados do macOS registrando operações de certificados de segurança, modificações de atributos de arquivo e carregamentos de módulos que contornam proteções SIP. Essa análise é crítica para detectar adversários que manipulam o modelo de confiança do macOS para executar aplicações não autorizadas sem alertas de segurança. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1553.004-install-root-certificate|T1553.004 — Install Root Certificaté]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN1248](https://attack.mitre.org/detectionstrategies/DET0452#AN1248)*