# AN1227 — Analytic 1227 ## Descrição Detecta aplicações no macOS que utilizam protocolos anômalos ou geram alto volume de tráfego não associado anteriormente à imagem do processo, como Automator ou AppleScript invocando curl ou sockets Python. A telemetria inclui logs unificados do macOS registrando conexões de rede iniciadas por processos de automação e correlação com volumes de tráfego históricos. Essa análise identifica o uso de ferramentas legítimas de automação do macOS como vetor de comunicação C2. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059.002-applescript|T1059.002 — AppleScript]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1227](https://attack.mitre.org/detectionstrategies/DET0444#AN1227)*