# AN0221 — Analytic 0221 ## Descrição Detecta ataques a serviços públicos hospedados no macOS (ex.: nginx, node.js) onde o adversário envia requisições suspeitas que causam crash ou 5xx no serviço, seguido de spawn de shell ou gravação de arquivo pelo processo de serviço e estabelecimento de nova conexão de saída. A telemetria inclui Unified Logs de processos de servidor web registrando requisições e falhas, FSEvents para criação de arquivo por daemons de servidor em caminhos sensíveis e análise de conexões de rede de saída originadas de processos de servidor web que normalmente não iniciam conexões externas. Essa analítica é relevante para macOS servers em pequenas e médias empresas e ambientes de desenvolvimento onde nginx e Node.js são comuns, e onde a menor maturidade de segurança pode deixar vulnerabilidades de aplicação web sem patch por períodos prolongados. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0221](https://attack.mitre.org/detectionstrategies/DET0080#AN0221)*