# AN0173 — Analytic 0173 ## Descrição Detecta no macOS a execução nativa de Python ou via frameworks a partir do Terminal, aplicações embarcadas ou jobs do launchd, sinalizando chamadas de rede, gravações de persistência ou enumeração do sistema após o início do interpretador. A telemetria utilizada inclui Unified Logs de criação de processos com Python como pai ou filho de aplicações incomuns, FSEvents para gravações em caminhos de LaunchAgent/LaunchDaemon e conexões de saída do interpretador Python para endereços externos. A detecção é relevante pois o macOS inclui Python nativamente, tornando trivial para adversários desenvolver e executar implantes sem instalar dependências adicionais que alertariam soluções de segurança. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] --- *Fonte: [MITRE ATT&CK — AN0173](https://attack.mitre.org/detectionstrategies/DET0063#AN0173)*