# AN1577 — Analytic 1577 ## Descrição Detecta criação ou modificação de arquivos plist de `LaunchDaemon` ou `LaunchAgent` nos diretórios `/Library/LaunchDaemons/`, `~/Library/LaunchAgents/` ou similares, monitorando execuções de `launchctl`, edições de property lists e alterações de permissões de arquivos. A telemetria é coletada pelo Endpoint Security Framework (ESF) do macOS e logs de auditoria unificados (ULS), que registram operações de arquivo e execuções de processos relacionadas ao subsistema de inicialização. Essa técnica é amplamente utilizada por malware macOS para garantir execução persistente mesmo após reinicializações do sistema. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] --- *Fonte: [MITRE ATT&CK — AN1577](https://attack.mitre.org/detectionstrategies/DET0571#AN1577)*