# AN1180 — Analytic 1180 ## Descrição Monitora logs DNS unificados no macOS em busca de consultas de domínio anômalas com baixa similaridade lexical a domínios conhecidos, falhas de lookup repetidas e estruturas de strings aleatórias, verificando com logs de processo para confirmar origens incomuns (aplicações não-browser). A telemetria utilizada inclui Unified Logs com foco em subsistemas de DNS, logs do mDNSResponder e monitoramento de processos via Endpoint Security Framework para identificar aplicações não-browser gerando consultas DGA. Esse analítico é fundamental para detecção de malware macOS que implementa DGA para comunicação resiliente com infraestrutura C2, uma técnica crescentemente utilizada em ataques direcionados a ambientes corporativos Apple. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1180](https://attack.mitre.org/detectionstrategies/DET0419#AN1180)*