# AN1273 — Analytic 1273 ## Descrição Detecta uso de sistema de arquivos oculto via containers APFS ou configuração de plist personalizada no macOS, incluindo uso anômalo de hdiutil ou diskutil para anexar partições ocultas e modificações de entradas plist vinculadas a volumes do sistema. A telemetria inclui logs unificados do macOS registrando operações de montagem de disco e acesso a disco raw por processos não administrativos. Essa análise é relevante para identificar adversários que exploram o sistema de arquivos APFS para ocultar dados ou ferramentas em volumes inacessíveis ao usuário comum. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1564.005-hidden-file-system|T1564.005 — Hidden File System]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN1273](https://attack.mitre.org/detectionstrategies/DET0461#AN1273)*