# AN0402 — Analytic 0402 ## Descrição Detecta jobs do launchd ou processos de usuário que invocam APIs simétricas de criptografia do Security framework e geram conexões de saída com payloads aleatorizados inconsistentes com padrões normais de TLS. A telemetria necessária inclui logs de eventos do sistema unificado (Unified Logs) do macOS, análise de módulos carregados por processo e inspeção de tráfego de rede para identificar transmissão de dados de alta entropia. Essa detecção é crítica em macOS porque adversários utilizam frameworks nativos do sistema operacional para evitar detecção por soluções de segurança que monitoram apenas bibliotecas externas. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1573-001-encrypted-channel-symmetric-cryptography|T1573.001 — Symmetric Cryptography]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN0402](https://attack.mitre.org/detectionstrategies/DET0143#AN0402)*