# AN0032 — Analytic 0032 ## Descrição Detecta aplicações previamente não vistas gerando conexões de saída com características de fluxo de dados atípicas, como volume excessivo de dados enviados sem resposta correspondente, indicando possível exfiltração ou beaconing de malware recém-instalado. A telemetria inclui dados do macOS Network Extension Framework, logs de Little Snitch ou similar, e análise de fluxo de rede correlacionada com primeira execução de aplicativo (sem histórico anterior). Esse analítico é valioso para detectar novos implantes no macOS, onde a ausência de histórico de comunicação de um processo é um forte indicador de comprometimento. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0032](https://attack.mitre.org/detectionstrategies/DET0011#AN0032)*