# AN1115 — Analytic 1115 ## Descrição Este analítico detecta LaunchAgents ou LaunchDaemons estabelecendo conexões externas periódicas indicativas de transferência automática de dados no macOS. Utiliza telemetria do Endpoint Security Framework (ESF), monitoramento de conexões de rede e análise de propriedades de plist de LaunchAgents/LaunchDaemons para identificar jobs que realizam transferências regulares para destinos externos. A detecção é importante porque malware persistente no macOS frequentemente usa LaunchAgents para exfiltrar dados periodicamente, passando despercebido por ferramentas que monitoram apenas execuções pontuais. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1119-automated-collection|T1119 — Automated Collection]] --- *Fonte: [MITRE ATT&CK — AN1115](https://attack.mitre.org/detectionstrategies/DET0397#AN1115)*