# AN1256 — Analytic 1256 ## Descrição Detecta binários não assinados ou scripts interpretados no macOS que iniciam protocolos não padrão (ICMP, UDP, SOCKS) fora do comportamento de rede de referência. A telemetria inclui logs unificados do macOS registrando criação de conexões de rede correlacionada com a assinatura de código e histórico de comportamento do processo de origem. Essa análise é relevante para identificar implantes em macOS que utilizam canais de comunicação alternativos para evitar filtragem de proxy e inspeção de tráfego. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] --- *Fonte: [MITRE ATT&CK — AN1256](https://attack.mitre.org/detectionstrategies/DET0457#AN1256)*