# AN1396 — Analytic 1396 ## Descrição Detecta comandos ofuscados executados via shell, osascript ou intérpretes AppleScript que utilizam tokens incomuns, codificação, substituição de variáveis ou reconstrução de strings em tempo de execução. A telemetria baseia-se em logs de auditoria do sistema e eventos de execução de processos que registram argumentos de linha de comando e cadeias de processos pai. Essa detecção é crítica para identificar adversários que tentam evadir controles de segurança por meio de ofuscação de payload em ambientes macOS. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1396](https://attack.mitre.org/detectionstrategies/DET0505#AN1396)*