# AN1485 — Analytic 1485 ## Descrição Detecta processos iniciados pelo launchd ou pelo usuário (como `ssh` e `socat`) encapsulando tráfego via túneis SSH, ferramentas estilo VPN ou clientes DNS-over-HTTPS em macOS. A telemetria inclui Unified Logs, eventos de criação de processos e análise de tráfego TLS de saída com payloads DNS ou RDP embutidos detectados por inspeção profunda de pacotes (DPI). Esta analítica é relevante para identificar canais de C2 encobertos em dispositivos macOS corporativos, onde adversários disfarçam comúnicações maliciosas como tráfego de administração remota ou resolução DNS legítima. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1485](https://attack.mitre.org/detectionstrategies/DET0538#AN1485)*