# AN1017 — Analytic 1017 ## Descrição Este analítico detecta a execução de `ping`, `traceroute` ou utilitários de rede do macOS — incluindo `scutil` ou `system_profiler` para enumeração de configuração de rede — em destinos externos por processos sem contexto de interface gráfica ativa ou com linhagem parental suspeita. A telemetria utilizada inclui logs do Unified Log, eventos do EndpointSecurity framework para execução de processos de rede e eventos do Network Extension Framework para conexões externas de curta duração sem payload subsequente. A detecção é importante porque ferramentas de verificação de conectividade são frequentemente usadas por malware macOS logo após a execução inicial para confirmar acesso à internet e determinar o ambiente antes de baixar payloads de estágio seguinte. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1049-system-network-connections-discovery|T1049 — System Network Connections Discovery]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1017](https://attack.mitre.org/detectionstrategies/DET0357#AN1017)*