# AN1415 — Analytic 1415 ## Descrição Detecta conexões de rede cifradas anômalas (via TLS/HTTPS) iniciadas por binários não-browser no macOS, especialmente após eventos de acesso a arquivos sensíveis ou operações de compressão. A telemetria baseia-se em eventos do Endpoint Security Framework (ESF) e Network Extension que registram conexões de rede por processo, permitindo identificar aplicativos não esperados estabelecendo comúnicações HTTPS. Essa detecção é relevante para ambientes macOS corporativos, onde malware como XCSSET e outras ameaças macOS utilizam canais HTTPS para exfiltrar dados de desenvolvimento e credenciais enquanto se misturam ao tráfego legítimo. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1074-001-local-data-staging|T1074.001 — Local Data Staging]] - [[t1560-001-archive-via-utility|T1560.001 — Archive via Utility]] --- *Fonte: [MITRE ATT&CK — AN1415](https://attack.mitre.org/detectionstrategies/DET0512#AN1415)*