# AN0635 — Analytic 0635 ## Descrição Este analítico detecta aplicativos no macOS fazendo conexões de saída em portas não padrão ou serviços launchd fazendo bind em portas inconsistentes com os baselines do sistema, indicando possível uso de portas alternativas para comunicação C2 ou exfiltração. A telemetria inclui logs de firewall de aplicativo do macOS (`/usr/libexec/ApplicationFirewall`), monitoramento de conexões de rede via Endpoint Security Framework com correlação de porta e processo, e alertas de Little Snitch ou ferramentas similares para conexões de saída em portas incomuns por aplicativos específicos. Essa detecção é relevante pois aplicativos macOS maliciosos frequentemente usam portas não convencionais (como 8080, 8443, 4444) para comunicação C2, aproveitando-se do firewall de aplicativo macOS que é menos restritivo que firewalls corporativos tradicionais. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1571-non-standard-port|T1571 — Non-Standard Port]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] --- *Fonte: [MITRE ATT&CK — AN0635](https://attack.mitre.org/detectionstrategies/DET0227#AN0635)*