Матрица MITRE ATT&CK

Техника на mitre.org

T1037.002: Login Hook

Злоумышленники могут использовать перехватчик входа в систему для закрепления в системе при входе пользователя в систему. Перехватчик входа в систему — это определенный сценарий, который указывается в специальном файле PLIST и выполняется с привилегиями root при входе пользователя в систему. Этот файл PLIST находится по адресу /Library/Preferences/com.apple.loginwindow.plist и может быть изменен с помощью утилиты командной строки defaults. Аналогично действует перехватчик выхода из системы — сценарий, который должен быть выполнен при выходе пользователя из системы. Для изменения и создания перехватчиков требуются права администратора.

Злоумышленники могут добавить путь к вредоносному сценарию в файл com.apple.loginwindow.plist, используя пару "ключ — значение" LoginHook или LogoutHook. Вредоносный сценарий выполняется при следующем входе пользователя в систему. Если перехватчик входа в систему уже существует, злоумышленники могут добавить в него дополнительные команды. Одновременно в системе может быть только один перехватчик входа в систему и один перехватчик выхода из системы.

Примечание. В macOS версии 10.11 перехватчики входа в систему и выхода из системы были отменены и вместо них используются демон запуска и агент запуска.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для установки или модификации перехватчиков входа в систему.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файлов перехватчика входа в систему (`/Library/Preferences/com.apple.loginwindow.plist`) и (или) внесение изменений в них, особенно если их осуществляют нетипичные учетные записи и эти действия не связаны со штатным администрированием системы.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте внесение изменений в файлы перехватчика входа в систему (`/Library/Preferences/com.apple.loginwindow.plist`), особенно если их осуществляют нетипичные учетные записи и эти действия не связаны со штатным администрированием системы.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы и (или) командные строки, которые используются для установки или модификации перехватчиков входа в систему, а также процессы, порождаемые этими перехватчиками при входе пользователя в систему.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для установки или модификации перехватчиков входа в систему.
DS0022	Файл: Создание файла	Отслеживайте создание файлов перехватчика входа в систему (`/Library/Preferences/com.apple.loginwindow.plist`) и (или) внесение изменений в них, особенно если их осуществляют нетипичные учетные записи и эти действия не связаны со штатным администрированием системы.
DS0022	Файл: Изменение файла	Отслеживайте внесение изменений в файлы перехватчика входа в систему (`/Library/Preferences/com.apple.loginwindow.plist`), особенно если их осуществляют нетипичные учетные записи и эти действия не связаны со штатным администрированием системы.
DS0009	Процесс: Создание процесса	Отслеживайте процессы и (или) командные строки, которые используются для установки или модификации перехватчиков входа в систему, а также процессы, порождаемые этими перехватчиками при входе пользователя в систему.

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Ограничьте доступ к сценариям входа в систему для определенных администраторов.

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	Ограничьте доступ к сценариям входа в систему для определенных администраторов.