# AN0111 — Analytic 0111 ## Descrição Inspeciona logs unificados do macOS para resoluções DNS anômalas disparadas por aplicações não relacionadas a rede, sinalizando conexões repetidas para domínios recém-registrados ou gerados algoritmicamente. A telemetria inclui o Unified Logging (subsistema com.apple.network.dns), o Endpoint Security Framework para correlação com processo de origem, e análise de idade e reputação do domínio via feeds de inteligência de ameaças. Este analítico é importante para detectar malware macOS que utiliza DGA ou resolução DNS para localizar servidores C2, como o backdoor Bundlore e implantes APT que operam em ambientes macOS corporativos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] --- *Fonte: [MITRE ATT&CK — AN0111](https://attack.mitre.org/detectionstrategies/DET0039#AN0111)*