# AN1474 — Analytic 1474 ## Descrição Detecta modificação não autorizada do banco TCC.db seguida de execução de processo elevado sob um processo pai confiável (como Finder ou SystemUIServer) ou via sobrescrita de ambiente por launchctl. A telemetria inclui monitoramento de acesso ao banco TCC via Endpoint Security Framework, eventos de execução de processos privilegiados e detecção de desabilitação do SIP — pré-requisito incomum e crítico para esse vetor de abuso. Esta analítica é de alta importância porque a manipulação do TCC permite que malware herde permissões de privacidade (câmera, microfone, disco completo) de processos confiáveis sem solicitar consentimento ao usuário. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] --- *Fonte: [MITRE ATT&CK — AN1474](https://attack.mitre.org/detectionstrategies/DET0534#AN1474)*