# AN0369 — Analytic 0369 ## Descrição Detecta transferência de arquivos não nativa via `curl`, scripts Python ou AppleScript usando protocolos incomuns como FTP, SMTP ou exfiltração DNS por abuso do `mDNSResponder`. A telemetria inclui eventos do Endpoint Security Framework, monitoramento de conexões de saída por processo e análise de tráfego DNS para domínios com subdomínios codificados. Essa analítica é relevante para macOS porque o mDNSResponder é um processo legítimo que pode ser abusado para construir canais de exfiltração baseados em DNS, difíceis de detectar sem inspeção profunda de tráfego DNS. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0369](https://attack.mitre.org/detectionstrategies/DET0131#AN0369)*