# AN0924 — Analytic 0924 ## Descrição Este analytic detecta sessões de AppleScript ou terminal que lançam ferramentas como `curl`, `nc` ou `ssh` para IPs externos não comumente acessados, com conexões de saída originadas de LaunchAgents ou LaunchDaemons que se disfarçam de serviços do sistema. A telemetria inclui logs do Endpoint Security Framework, registros de LaunchAgent/LaunchDaemon em `~/Library/LaunchAgents/` e análise de tráfego de rede correlacionada com identidade de processo. Em macOS, o uso de LaunchAgents como canal de C2 é uma técnica de persistência prevalente em malware e adware, pois o sistema relança automaticamente os agentes após reinicialização sem exigir privilégios de root. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1543-003-launch-agent|T1543.003 — Launch Agent]] - [[t1071-001-web-protocols|T1071.001 — Web Protocols]] --- *Fonte: [MITRE ATT&CK — AN0924](https://attack.mitre.org/detectionstrategies/DET0325#AN0924)*