# AN0929 — Analytic 0929 ## Descrição Este analytic detecta processos identificados via EndpointSecurity/Unified Logs que geram alfabetos customizados ou tokens longos de alta entropia não padrão, correlacionados com logs de rede (PF/Zeek/EDR) exibindo beacons assimétricos, incompatibilidades de protocolo ou posts periódicos de tamanho fixo. A telemetria inclui o Endpoint Security Framework do macOS para monitoramento de processos e o daemon de firewall PF combinado com capturas Zeek para análise de tráfego. Em macOS, a comunicação C2 com codificação customizada é um indicador de implants sofisticados como aqueles atribuídos a grupos APT que visam usuários Apple em setores de tecnologia, pesquisa e governo. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] - [[t1132-data-encoding|T1132 — Data Encoding]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1543-003-launch-agent|T1543.003 — Launch Agent]] --- *Fonte: [MITRE ATT&CK — AN0929](https://attack.mitre.org/detectionstrategies/DET0326#AN0929)*