# AN0464 — Analytic 0464 ## Descrição Detecta processo que abre `/dev/bpf*` (libpcap) ou carrega um filtro NetworkExtension e, após um pacote de entrada criado, o mesmo processo inicia uma conexão de saída para a origem do pacote de ativação. A telemetria necessária inclui Endpoint Security Framework do macOS para monitorar acesso a dispositivos BPF (`/dev/bpf*`), logs de carregamento de extensões de rede e correlação de eventos de acesso a interface de captura com estabelecimento de conexões de saída. Essa detecção é relevante em macOS porque backdoors baseados em traffic signaling que usam libpcap/BPF foram identificados em implantes sofisticados direcionados a plataformas Apple, permitindo acesso persistente sem portas abertas detectáveis em scans de rede. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1205-traffic-signaling|T1205 — Traffic Signaling]] - [[t1205-001-traffic-signaling-port-knocking|T1205.001 — Port Knocking]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-002-command-and-scripting-interpreter-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN0464](https://attack.mitre.org/detectionstrategies/DET0162#AN0464)*