# AN1371 — Analytic 1371 ## Descrição Detecta adversários desabilitando ferramentas de segurança no macOS por meio do descarregamento de launch agents ou daemons de proteção, modificação de perfis de configuração de MDM ou uso de comandos de desinstalação para remover agentes de segurança. Utiliza o Endpoint Security Framework e logs do Unified Log para monitorar operações launchctl unload em daemons de segurança, modificações em perfis de configuração e execução de comandos de desinstalação por processos não autorizados. Importante para detectar malwares macOS que desabilitam proteções como XProtect e AMFI antes de executar payloads que seriam bloqueados pelos controles nativos. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN1371](https://attack.mitre.org/detectionstrategies/DET0497#AN1371)*