# AN1386 — Analytic 1386 ## Descrição Detecta ocultação de arquivos via 'chflags hidden' ou atributos específicos do macOS, além de LaunchAgents e LaunchDaemons colocados em diretórios ocultos não convencionais como mecanismo de persistência furtiva. Utiliza o Endpoint Security Framework e auditoria de linha de comando para detectar execução de chflags hidden, modificação de flags de arquivo via API e criação de plists de persistência em caminhos ocultos de ~/Library. Técnica usada por malwares macOS como Silver Sparrow e OSX.Bundlore para ocultar agentes de persistência de visualizações do Finder e ferramentas de segurança que não inspecionam caminhos ocultos. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] --- *Fonte: [MITRE ATT&CK — AN1386](https://attack.mitre.org/detectionstrategies/DET0502#AN1386)*