# AN1447 — Analytic 1447 ## Descrição Detecta modificação das políticas de System Integrity Protection (SIP) ou de assinatura de código via `csrutil` ou manipulação de variáveis do kernel, correlacionando a execução de comandos `csrutil disable` com alterações subsequentes no estado da política e execuções anômalas de processos não assinados. A telemetria principal inclui Unified Logs do macOS, eventos de execução de processos privilegiados e mudanças no estado do NVRAM. Esta analítica é de alta criticidade porque a desabilitação do SIP remove proteções fundamentais do sistema operacional macOS, abrindo caminho para instalação de rootkits e persistência profunda que sobrevive a reinstalações de software. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN1447](https://attack.mitre.org/detectionstrategies/DET0523#AN1447)*