T1543.004: Демон запуска

Злоумышленники могут создавать или изменять демоны запуска для выполнения полезной нагрузки с целью закрепления в системе. Демоны запуска — это агенты, описанные в файлах PLIST, используемых системой управления службами launchd в macOS. Для установки демонов запуска требуются повышенные привилегии, они запускаются для каждого пользователя системы перед его входом в систему и работают в фоновом режиме без участия пользователя. При запуске процедуры инициализации macOS процесс launchd загружает параметры запускаемых по требованию демонов системного уровня из файлов PLIST, расположенных в каталогах /System/Library/LaunchDaemons/ и /Library/LaunchDaemons/. К обязательным параметрам демонов запуска относятся: Label для идентификации задачи, Program для указания пути к исполняемому файлу и RunAtLoad для указания момента запуска задачи. Демоны запуска часто используются для предоставления доступа к общим ресурсам, обновления программного обеспечения или выполнения задач автоматизации.

Злоумышленники могут установить демон запуска, настроенный на выполнение при запуске, с параметром RunAtLoad, равным true, и параметром Program, соответствующим пути к вредоносному исполняемому файлу. Имя демона может быть замаскировано: в качестве него может быть указано название системного или иного легитимного программного обеспечения. При выполнении демона запуска он наследует административные разрешения.

Кроме того, изменение конфигурации системы (например, установка стороннего ПО для управления пакетами) может привести к тому, что такие папки, как usr/local/bin, станут глобально доступными для записи. Таким образом, из-за неправильной конфигурации злоумышленники могут получить возможность изменять исполняемые файлы, на которые ссылаются текущие файлы PLIST демонов запуска.

Способы обнаружения

IDDS0019Источник и компонент данныхСлужба: Изменения в службеОписание

Monitor services for changes made to Launch Daemons to execute malicious payloads as part of persistence.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for newly executed processes that may create or modify Launch Daemons to execute malicious payloads as part of persistence.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Some legitimate LaunchDaemons point to unsigned code that could be exploited. For Launch Daemons with the RunAtLoad parameter set to true, ensure the Program parameter points to signed code or executables are in alignment with enterprise policy. Some parameters are interchangeable with others, such as Program and ProgramArguments parameters but one must be present.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor files for changes that may create or modify Launch Daemons to execute malicious payloads as part of persistence.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for new files added to the /Library/LaunchDaemons/ folder. The System LaunchDaemons are protected by SIP.

IDDS0019Источник и компонент данныхСлужба: Создание службыОписание

Monitor for newly constructed services may create or modify Launch Daemons to execute malicious payloads as part of persistence.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Limit privileges of user accounts and remediate Privilege Escalation vectors so only authorized administrators can create new Launch Daemons.

IDM1047НазваниеАудитОписание

Use auditing tools capable of detecting folder permissions abuse opportunities on systems, especially reviewing changes made to folders by third-party software.