# AN0206 — Analytic 0206 ## Descrição Detecta no macOS a execução de AppleScript ou serviços Automator que iniciam `ssh -L`, `socat` ou itens `launchctl` que redirecionam dinâmicamente tráfego de um endpoint Mac para outro, incluindo LaunchAgents usados para estabelecer túneis internos permanentes. A telemetria inclui Unified Logs de execuções de osascript com scripts SSH ou socat, FSEvents para criação de arquivos plist de LaunchAgent que configuram serviços de redirecionamento de porte e análise de conexões de rede de processos iniciados por launchd. Essa analítica detecta técnicas de tunelamento e pivotamento específicas do macOS onde adversários exploram mecanismos nativos como LaunchAgents para estabelecer túneis de rede persistentes, frequentemente usados em ataques de longa duração contra organizações com infraestrutura macOS significativa. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1090-proxy|T1090 — Proxy]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0206](https://attack.mitre.org/detectionstrategies/DET0075#AN0206)*