# AN1123 — Analytic 1123 ## Descrição Detecta ambientes de scripting (AppleScript, osascript, curl) ou ferramentas não nativas realizando consultas DNS com subdomínios codificados, frequentemente utilizados para exfiltração de dados ou beaconing. A telemetria baseia-se em Unified Logs do macOS, rastreamento de chamadas de sistema e correlação com execução de processos para identificar a origem das consultas anômalas. A detecção é essencial porque essa técnica permite ao adversário manter comunicação com infraestrutura C2 disfarçada de tráfego DNS legítimo, dificultando a identificação por ferramentas de segurança convencionais. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1123](https://attack.mitre.org/detectionstrategies/DET0400#AN1123)*