# AN1509 — Analytic 1509 ## Descrição Detecta o uso malicioso de plugins de servidor web (como nginx, PHP, Node.js) que executam AppleScript ou abrem sockets de rede em macOS. A telemetria inclui Unified Logs para execução de AppleScript por processos de servidor web, Endpoint Security Framework para monitoramento de criação de sockets e análise de processos filhos gerados por daemons de servidor web. Esta analítica é relevante para detectar webshells e módulos backdoor em servidores web macOS, especialmente relevante em ambientes de desenvolvimento onde servidores web locais rodam com permissões de usuário e podem ser explorados via vulnerabilidades de aplicação. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN1509](https://attack.mitre.org/detectionstrategies/DET0547#AN1509)*