# AN0971 — Analytic 0971 ## Descrição Este analítico detecta tráfego de saída excessivo no macOS gerado por `ping`, `curl` ou scripts personalizados que indicam comportamento de flooding, especialmente sem contexto de interface gráfica ou interação do usuário. A telemetria utilizada inclui logs do Unified Log do macOS, eventos do Network Extension Framework e monitoramento de tráfego via Little Snitch ou similar, correlacionando processos sem janela aberta com volumes de pacotes anormais. A detecção é relevante para identificar malware macOS participando de botnets DDoS ou realizando flood de rede, comportamento observado em variantes do malware XMRig e outros stealers com capacidade de DoS. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0971](https://attack.mitre.org/detectionstrategies/DET0343#AN0971)*