# AN1231 — Analytic 1231 ## Descrição Detecta AppleScript, LaunchAgents ou serviços de login remoto (ssh, networksetup) estabelecendo túneis proxy ou encaminhamentos de porta dinâmicos para IPs externos ou hosts locais alternativos no macOS. A telemetria inclui logs unificados do macOS registrando criação de conexões de rede por scripts de automação e análise de padrões de tráfego incomuns. Essa análise é importante para identificar adversários que utilizam recursos nativos do macOS para criar canais de comunicação persistentes e ocultos. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1021.004-ssh|T1021.004 — SSH]] - [[t1059.002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN1231](https://attack.mitre.org/detectionstrategies/DET0445#AN1231)*