T1543.004: Демон запуска
Злоумышленники могут создавать или изменять демоны запуска для выполнения полезной нагрузки с целью закрепления в системе. Демоны запуска — это агенты, описанные в файлах PLIST, используемых системой управления службами launchd в macOS. Для установки демонов запуска требуются повышенные привилегии, они запускаются для каждого пользователя системы перед его входом в систему и работают в фоновом режиме без участия пользователя. При запуске процедуры инициализации macOS процесс launchd загружает параметры запускаемых по требованию демонов системного уровня из файлов PLIST, расположенных в каталогах /System/Library/LaunchDaemons/
и /Library/LaunchDaemons/
. К обязательным параметрам демонов запуска относятся: Label
для идентификации задачи, Program
для указания пути к исполняемому файлу и RunAtLoad
для указания момента запуска задачи. Демоны запуска часто используются для предоставления доступа к общим ресурсам, обновления программного обеспечения или выполнения задач автоматизации.
Злоумышленники могут установить демон запуска, настроенный на выполнение при запуске, с параметром RunAtLoad
, равным true
, и параметром Program
, соответствующим пути к вредоносному исполняемому файлу. Имя демона может быть замаскировано: в качестве него может быть указано название системного или иного легитимного программного обеспечения. При выполнении демона запуска он наследует административные разрешения.
Кроме того, изменение конфигурации системы (например, установка стороннего ПО для управления пакетами) может привести к тому, что такие папки, как usr/local/bin
, станут глобально доступными для записи. Таким образом, из-за неправильной конфигурации злоумышленники могут получить возможность изменять исполняемые файлы, на которые ссылаются текущие файлы PLIST демонов запуска.
Способы обнаружения
ID | DS0019 | Источник и компонент данных | Служба: Изменения в службе | Описание | Monitor services for changes made to Launch Daemons to execute malicious payloads as part of persistence. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor for newly executed processes that may create or modify Launch Daemons to execute malicious payloads as part of persistence. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Some legitimate LaunchDaemons point to unsigned code that could be exploited. For Launch Daemons with the |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor files for changes that may create or modify Launch Daemons to execute malicious payloads as part of persistence. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for new files added to the |
---|
ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Monitor for newly constructed services may create or modify Launch Daemons to execute malicious payloads as part of persistence. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Limit privileges of user accounts and remediate Privilege Escalation vectors so only authorized administrators can create new Launch Daemons. |
---|
ID | M1047 | Название | Аудит | Описание | Use auditing tools capable of detecting folder permissions abuse opportunities on systems, especially reviewing changes made to folders by third-party software. |
---|