# AN0598 — Analytic 0598 ## Descrição Este analítico detecta processos no macOS que iniciam conexões externas transmitindo dados em tamanhos fixos via LaunchAgents ou por usuários inesperados, indicando beaconing de C2 periódico. A telemetria inclui logs do macOS Unified Logging com eventos de conexão de rede, dados de atividade de rede do Endpoint Security Framework, e análise de periodicidade de tráfego em logs de proxy corporativo ou firewalls com visibilidade em endpoints macOS. Essa detecção é importante pois LaunchAgents são um mecanismo comum de persistência no macOS, e malware que combina persistência via LaunchAgent com beaconing periódico de C2 é um padrão frequentemente observado em campanhas de espionagem direcionadas a usuários macOS corporativos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1132-data-encoding|T1132 — Data Encoding]] --- *Fonte: [MITRE ATT&CK — AN0598](https://attack.mitre.org/detectionstrategies/DET0213#AN0598)*