# AN0160 — Analytic 0160 ## Descrição Detecta processos ou scripts que acessam serviços web comuns para recuperar conteúdo contendo indicadores ofuscados de um servidor C2 secundário — comportamento conhecido como "dead drop resolver". A telemetria inclui logs de tráfego de rede, eventos de processo em macOS (Endpoint Security Framework) e análise de conteúdo recuperado por processos não-browser. Esse comportamento é amplamente utilizado por grupos APT para ocultar infraestrutura de C2 por trás de plataformas legítimas como GitHub, Pastebin ou Twitter. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0160](https://attack.mitre.org/detectionstrategies/DET0058#AN0160)*