# AN1120 — Analytic 1120 ## Descrição Este analítico detecta jobs recorrentes de LaunchAgent ou launchd que iniciam transferências de dados para IPs ou domínios externos consistentes com assinaturas de temporização repetida. Utiliza telemetria do Endpoint Security Framework (ESF), monitoramento de conexões de rede e análise de plist de LaunchAgents para identificar padrões de exfiltração automatizada. A detecção é relevante porque malware sofisticado no macOS usa LaunchAgents para exfiltrar dados em intervalos regulares, disfarçando a atividade como sincronização legítima de aplicações ao manter temporização e destinos consistentes. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN1120](https://attack.mitre.org/detectionstrategies/DET0399#AN1120)*