T1543.004: Демон запуска
Злоумышленники могут создавать или изменять демоны запуска для выполнения полезной нагрузки с целью закрепления в системе. Демоны запуска — это агенты, описанные в файлах PLIST, используемых системой управления службами launchd в macOS. Для установки демонов запуска требуются повышенные привилегии, они запускаются для каждого пользователя системы перед его входом в систему и работают в фоновом режиме без участия пользователя. При запуске процедуры инициализации macOS процесс launchd загружает параметры запускаемых по требованию демонов системного уровня из файлов PLIST, расположенных в каталогах /System/Library/LaunchDaemons/ и /Library/LaunchDaemons/. К обязательным параметрам демонов запуска относятся: Label для идентификации задачи, Program для указания пути к исполняемому файлу и RunAtLoad для указания момента запуска задачи. Демоны запуска часто используются для предоставления доступа к общим ресурсам, обновления программного обеспечения или выполнения задач автоматизации.
Злоумышленники могут установить демон запуска, настроенный на выполнение при запуске, с параметром RunAtLoad, равным true, и параметром Program, соответствующим пути к вредоносному исполняемому файлу. Имя демона может быть замаскировано: в качестве него может быть указано название системного или иного легитимного программного обеспечения. При выполнении демона запуска он наследует административные разрешения.
Кроме того, изменение конфигурации системы (например, установка стороннего ПО для управления пакетами) может привести к тому, что такие папки, как usr/local/bin, станут глобально доступными для записи. Таким образом, из-за неправильной конфигурации злоумышленники могут получить возможность изменять исполняемые файлы, на которые ссылаются текущие файлы PLIST демонов запуска.
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Некоторые легитимные демоны запуска LaunchDaemons указывают на неподписанный код, которым могут воспользоваться злоумышленники. Если для параметра |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте попытки добавления файлов в папку |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, с помощью которых злоумышленники могут создать или изменить демоны запуска для выполнения полезной нагрузки с целью закрепления в системе. |
|---|
| ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Отслеживайте создание служб, которые могут создавать или изменять демоны запуска для выполнения полезной нагрузки с целью закрепления в системе. |
|---|
| ID | DS0019 | Источник и компонент данных | Служба: Изменения в службе | Описание | Отслеживайте службы на предмет изменений, внесенных в демоны запуска для выполнения полезной нагрузки с целью закрепления в системе. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут создавать или изменять демоны запуска для выполнения полезной нагрузки с целью закрепления в системе. |
|---|
Меры противодействия
| ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте привилегии пользователей и устраните способы повышения уровня привилегий, чтобы только авторизованные администраторы могли создавать новые демоны запуска. |
|---|
| ID | M1047 | Название | Аудит | Описание | Используйте средства аудита, способные обнаружить возможности злоупотребления правами доступа к папкам в системах, особенно при проверке изменений, вносимых в папки сторонними программами. |
|---|