# AN1391 — Analytic 1391 ## Descrição Detecta operações de criptografia simétrica — como AES via Python, AppleScript ou OpenSSL — seguidas de conexões de saída incomuns de aplicativos não-browser ou ferramentas com scripts. A telemetria inclui eventos do ESF monitorando criação de processos e conexões de rede, análise de uso de bibliotecas criptográficas por processos inesperados e correlação de volume de dados transmitidos. Esse padrão é indicativo de exfiltração de dados com criptografia customizada, técnica utilizada por malware para ofuscar o conteúdo exfiltrado e evadir inspeção de DLP. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1391](https://attack.mitre.org/detectionstrategies/DET0503#AN1391)*