det0288-detect-gatekeeper-bypass-via-quarantine-flag-and-trust-control-manipulat

# DET0288 — Detect Gatekeeper Bypass via Quarantine Flag and Trust Control Manipulation ## Descrição Esta estratégia detecta tentativas de contornar o Gatekeeper do macOS, um controle de segurança que verifica a identidade do desenvolvedor e a integridade de aplicações baixadas da internet. Adversários removem ou manipulam o atributo de quarentena (`com.apple.quarantine`) de arquivos baixados, modificam listas de permissão do Gatekeeper ou exploram vulnerabilidades no mecanismo de verificação de assinatura para executar software não autorizado sem alertas ao usuário. Os principais indicadores incluem execução do comando `xattr -d com.apple.quarantine` em arquivos recém-baixados, desativação do Gatekeeper via `spctl --master-disable`, e execução de aplicações sem o atributo de quarentena que deveriam tê-lo (baixadas de browser ou e-mail). O subsistema de auditoria do macOS (`auditd`) e o Endpoint Security Framework são as fontes de telemetria primárias. Malware macOS como [[s0658-xcsset|XCSSET]] e campanhas de infostealer que visam usuários macOS frequentemente incluem componentes de bypass do Gatekeeper. Esta detecção é especialmente relevante em ambientes corporativos que permitem instalação de software de terceiros por usuários, e alinha-se com o crescente targeting de macOS por grupos de APT. ## Indicadores de Detecção - Execução de `xattr -d com.apple.quarantine` ou `xattr -c` em arquivo recém-criado em `~/Downloads` - `spctl --master-disable` executado por processo não administrativo ou script - Aplicação executada a partir de DMG montado sem atributo de quarentena, com assinatura ausente ou revogada - Script shell extraído de arquivo ZIP sem quarentena executando em sequência ao download - Modificação de `/var/db/SystemPolicy` ou `/Library/Application Support/Apple/ParentalControls/` - Processo com parent `curl`, `wget` ou browser executando binário sem assinatura válida ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an0800-analytic-0800|AN0800 — Analytic 0800]] --- *Fonte: [MITRE ATT&CK — DET0288](https://attack.mitre.org/detectionstrategies/DET0288)*