# AN1498 — Analytic 1498 ## Descrição Detecta aplicativos ou serviços launchd que invocam rotinas RSA ou de chave pública do framework Security do macOS, seguidos de sessões SSL/TLS de saída com certificados não reconhecidos ou handshakes anômalos. A telemetria inclui Unified Logs para chamadas de API de criptografia, análise de sessões de rede TLS com entropia anômala e monitoramento via Endpoint Security Framework. Esta analítica é relevante para detectar malware macOS que usa o framework nativo Security para implementar canais de C2 criptografados próprios, aproveitando-se da confiança que soluções de segurança depositam em processos que usam APIs oficiais da Apple. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1106-native-api|T1106 — Native API]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1498](https://attack.mitre.org/detectionstrategies/DET0543#AN1498)*