# AN0566 — Analytic 0566 ## Descrição Este analítico detecta aplicativos não assinados ou em espaço de usuário no macOS que iniciam conexões TLS com um hostname diferente do solicitado nos cabeçalhos HTTP, técnica comumente explorada em domain fronting via CDN para ocultar infraestrutura de C2. A telemetria é obtida de logs do Unified Logging System (ULS) do macOS, registros de inspeção TLS de proxies corporativos e monitoramento de tráfego de rede com correlação de SNI e cabeçalho Host. A detecção é relevante porque malware macOS, incluindo ferramentas de acesso remoto (RATs), tem adotado domain fronting para contornar controles de segurança baseados em lista de bloqueio de domínios. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0566](https://attack.mitre.org/detectionstrategies/DET0196#AN0566)*