# AN1540 — Analytic 1540 ## Descrição Este analítico identifica invocações de `shutdown`, `reboot` ou `osascript` para encerramento do sistema no macOS dentro dos logs unificados, rastreando sequências de desligamento inesperadas iniciadas via GUI ou scripts, com referência cruzada com atividade do usuário ou ausência dela. A telemetria é extraída do unified log do macOS (`log stream`) e de eventos de processo do ESF que registram chamadas de sistema de desligamento com contexto de processo pai e usuário. A detecção é relevante pois scripts maliciosos no macOS frequentemente invocam reinicializações para carregar drivers maliciosos na inicialização ou para interromper ferramentas de segurança que não sobrevivem a reboots. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1529-system-shutdown-reboot|T1529 — System Shutdown/Reboot]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1543-001-launch-agent|T1543.001 — Launch Agent]] --- *Fonte: [MITRE ATT&CK — AN1540](https://attack.mitre.org/detectionstrategies/DET0559#AN1540)*