# AN1556 — Analytic 1556 ## Descrição Este analítico detecta supressão do histórico de bash/zsh no macOS via manipulação de `HISTFILE` ou `HISTCONTROL` e ausência de atualizações em `~/.bash_history`, identificando mudanças de variáveis de ambiente vinculadas a processos de terminal como forte indicador de evasão adversarial. A telemetria é obtida do Endpoint Security Framework (ESF) e unified log do macOS que capturam eventos de processo com variáveis de ambiente e operações de escrita em arquivos de histórico shell. A relevância é alta pois a desabilitação do histórico de shell é amplamente usada por adversários pós-acesso no macOS para dificultar análise forense e resposta a incidentes, cobrindo evidências de comandos executados durante a intrusão. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1562-006-indicator-blocking|T1562.006 — Impair Defenses: Indicator Blocking]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] --- *Fonte: [MITRE ATT&CK — AN1556](https://attack.mitre.org/detectionstrategies/DET0563#AN1556)*