Техника на mitre.org

T1543.001: Агент запуска

Злоумышленники могут создавать или изменять агенты запуска для систематического выполнения полезной нагрузки с целью закрепления в системе. При входе пользователя в систему для него запускается процесс launchd, который загружает параметры для каждого запускаемого по требованию пользовательского агента. Эти параметры находятся в файлах со списками свойств (PLIST), расположенных в каталогах /System/Library/LaunchAgents, /Library/LaunchAgents и ~/Library/LaunchAgents. Ключи Label и ProgramArguments в файлах PLIST определяют имя агента запуска и расположение исполняемого файла, а ключ RunAtLoad указывает, что агент должен запускаться сразу при загрузке. Агенты запуска часто устанавливаются для обновления программ, запуска указанных пользователем программ при входе в систему, а также выполнения других определяемых разработчиками задач.

Агенты запуска также могут запускаться с помощью команды Launchctl.

Злоумышленники могут установить новый агент запуска, запускаемый при входе в систему, поместив в соответствующие папки файл PLIST с ключами RunAtLoad и KeepAlive, для которых установлено значение true. Имя агента запуска может быть замаскировано: в качестве него может быть указано название системного или иного легитимного программного обеспечения. Агенты запуска создаются с привилегиями уровня пользователя и выполняются с разрешениями также пользовательского уровня.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Если для закрепления используются агенты запуска, они требуют наличия определенных файлов на диске, которые можно отслеживать с помощью мониторинговых приложений.

IDDS0019Источник и компонент данныхСлужба: Создание службыОписание

Отслеживайте создание агента запуска путем использования дополнительных файлов PLIST и утилит, включая Objective-See KnockKnock.

IDDS0019Источник и компонент данныхСлужба: Изменения в службеОписание

Отслеживайте изменения в агентах запуска, предназначенные для систематического выполнения полезной нагрузки с целью закрепления в системе.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов, с помощью которых злоумышленники могут создать или изменить агенты запуска для систематического выполнения полезной нагрузки с целью закрепления в системе.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Проследите, чтобы ключ агента запуска ProgramArguments, указывающий на исполняемые файлы в папке /tmp или /shared, соответствовал политикам предприятия. Проследите, чтобы все агенты запуска, для ключа RunAtLoad которых установлено значение true, соответствовали политикам.

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Установите групповые политики для ограничения прав доступа к файлам в папке ~/launchagents.