# AN0347 — Analytic 0347 ## Descrição Detecta processos macOS usando base64, xxd, openssl ou APIs Objective-C para codificar dados — visíveis em eventos de exec do EndpointSecurity ou Unified Logs — seguidos rapidamente de conexões de saída com grande volume de bytes ou HTTP POSTs contendo corpos Base64/MIME. A telemetria inclui eventos do Endpoint Security Framework, logs unificados de atividade de processos e análise de tráfego HTTP via proxies de inspeção. Essa analítica é importante porque ferramentas nativas do macOS como openssl e python são frequentemente abusadas por malwares e RATs para exfiltrar dados de forma silenciosa e contornar filtros de conteúdo. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0347](https://attack.mitre.org/detectionstrategies/DET0124#AN0347)*