# AN1022 — Analytic 1022 ## Descrição Este analítico detecta LaunchAgents ou LaunchDaemons no macOS que iniciam processos Tor ou relay persistentes fazendo conexões de saída criptografadas, possívelmente combinado com bypasses de sandbox ou executáveis não assinados comúnicando via proxies SOCKS. A telemetria utilizada inclui logs do Unified Log para carregamento de LaunchAgents/Daemons, eventos do EndpointSecurity framework para execução de processos não assinados e eventos do Network Extension Framework para conexões persistentes para nós Tor ou endereços de proxy. A detecção é relevante para identificar malware macOS com persistência que usa Tor como canal C2 — incluindo variantes do malware OSX.Dacls (associado ao Lazarus Group) que estabeleceram canais C2 via rede Tor em alvos macOS de alto valor. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1022](https://attack.mitre.org/detectionstrategies/DET0359#AN1022)*