# AN0905 — Analytic 0905 ## Descrição Este analytic detecta enumeração via shell de conexões ativas usando `netstat`, `lsof -i` ou discovery baseado em AppleScript em sistemas macOS. A telemetria inclui logs do Endpoint Security Framework e Unified Logs monitorando a execução desses utilitários por processos não-interativos ou com linhagem de processo suspeita. Em macOS, a enumeração de conexões de rede frequentemente precede tanto o movimento lateral quanto a exfiltração de dados, sendo especialmente relevante em ambientes corporativos onde dispositivos Apple são usados por executivos e pesquisadores que podem ser alvos de espionagem corporativa. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1049-system-network-connections-discovery|T1049 — System Network Connections Discovery]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] --- *Fonte: [MITRE ATT&CK — AN0905](https://attack.mitre.org/detectionstrategies/DET0320#AN0905)*