# AN1378 — Analytic 1378 ## Descrição Detecta tráfego de fallback originado de launch agents de baixo perfil ou em background no macOS utilizando protocolos incomuns ou destinos alternativos após inatividade do canal primário de C2. Utiliza o Unified Log e telemetria de rede do macOS para correlacionar atividade de LaunchAgents silenciosos com conexões de saída em protocolos não convencionais ou para IPs/domínios fora do padrão histórico do processo. Relevante para detectar implantes macOS persistentes como FinSpy e RustBucket que implementam canais de fallback para manter controle quando conexões primárias são interrompidas por controles de rede corporativos. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1008-fallback-channels|T1008 — Fallback Channels]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] --- *Fonte: [MITRE ATT&CK — AN1378](https://attack.mitre.org/detectionstrategies/DET0499#AN1378)*