# AN0761 — Analytic 0761 ## Descrição Esta analítica detecta aplicativos ou jobs launchd no macOS que iniciam tráfego TLS cifrado para hosts externos raros, com o defensor observando logs unificados mostrando chamadas de API ssl/TLS por processos não aprovados na baseline e entropia de payload sugerindo sessões de C2 cifradas. A telemetria inclui Unified Logs do macOS (subsistemas de rede e TLS), análise de tráfego via Little Snitch ou Lulu e dados de fluxo de rede coletados pelo EDR. A detecção é relevante para identificar implantes macOS como AMOS, XLoader ou backdoors customizados que usam canais cifrados para comunicação com infraestrutura de C2. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] --- *Fonte: [MITRE ATT&CK — AN0761](https://attack.mitre.org/detectionstrategies/DET0273#AN0761)*