# AN1601 — Analytic 1601 ## Descrição Detecta processos utilizando URLSession ou API similar para buscar dados de serviços web sem qualquer tratamento da resposta, indicativo de canais C2 unidirecionais onde o malware faz beacons para infraestrutura de comando sem processar o retorno da requisição. A telemetria é obtida pelo Endpoint Security Framework (ESF) do macOS e logs de rede, que registram chamadas de API de rede e fluxos de tráfego HTTP/HTTPS por processo. Adversários em macOS exploram frameworks nativos de rede para estabelecer canais C2 furtivos que se misturam ao tráfego legítimo de aplicações. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1102-web-service|T1102 — Web Service]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN1601](https://attack.mitre.org/detectionstrategies/DET0581#AN1601)*