# AN1171 — Analytic 1171 ## Descrição Detecta Automator, AppleScript ou Terminal executando curl, lftp ou TFTP para transferência binária para IPs não confiáveis ou portas incomuns. A telemetria inclui Unified Logs do macOS, monitoramento de conexões de rede via Endpoint Security Framework e logs de execução de processos para correlacionar ferramentas de automação macOS com transferências suspeitas de dados. Essa detecção é relevante porque o ecossistema de automação do macOS oferece capacidades nativas poderosas que adversários exploram para exfiltração de dados sem necessidade de malware adicional. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1171](https://attack.mitre.org/detectionstrategies/DET0416#AN1171)*