# AN1333 — Analytic 1333 ## Descrição Utiliza unified logs do macOS para identificar processos que emitem consultas DNS repetidas onde os endereços IP resolvidos mudam frequentemente dentro de valores de TTL muito curtos. Correlaciona com tráfego de rede de saída para válidar padrões semelhantes a C2 baseados em fast flux DNS. A telemetria inclui unified logs do macOS (`log show`) para eventos de resolução DNS, análise de conexões de rede via Network Extension framework e correlação de processo-para-domínio via Endpoint Security framework. Esta detecção visa identificar implantes macOS que utilizam domínios com fast flux para comúnicações C2 resilientes, uma técnica utilizada por atores avançados que visam usuários de macOS em ambientes corporativos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1568-001-fast-flux-dns|T1568.001 — Fast Flux DNS]] - [[t1071-004-dns|T1071.004 — DNS]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1333](https://attack.mitre.org/detectionstrategies/DET0485#AN1333)*