# AN0146 — Analytic 0146 ## Descrição Detecta aplicações de usuário inesperadas no macOS que iniciam sessões HTTP(S) de longa duração com padrões de tráfego irregulares, indicativos de beaconing de C2 ou exfiltração contínua de dados. A telemetria inclui o Endpoint Security Framework para monitorar conexões de rede de processos de aplicação não gerenciados, o Unified Logging (subsistema com.apple.network) para rastrear sessões TCP/TLS persistentes, e análise de comportamento de tráfego para identificar padrões periódicos ou irregulares que diferem do baseline da aplicação. Este analítico é importante para detectar implantes macOS com módulos de C2 embutidos que mantêm comunicação persistente com servidores de comando, como backdoors utilizados em campanhas de espionagem APT contra setores de tecnologia e governo. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1102-web-service|T1102 — Web Service]] --- *Fonte: [MITRE ATT&CK — AN0146](https://attack.mitre.org/detectionstrategies/DET0053#AN0146)*