T1547.007: Перезапуск приложений
Злоумышленники могут изменять файлы PLIST для автоматического запуска приложений при входе пользователя в систему. Когда пользователь выходит из системы или выполняет перезапуск через графический интерфейс macOS, ему отображается приглашение с флажком "Снова открывать окна при повторном входе в систему". При установке этого флажка все открытые в данный момент приложения добавляются в файл списка свойств с именем com.apple.loginwindow.[UUID].plist
в каталоге ~/Library/Preferences/ByHost
. Приложения, указанные в этом файле, автоматически открываются при следующем входе пользователя в систему.
Злоумышленники могут закрепиться в системе, добавив в файл com.apple.loginwindow.[UUID].plist
путь к вредоносному приложению для выполнения полезной нагрузки при входе пользователя в систему.
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для изменения файлов PLIST с целью автоматического запуска приложений при входе пользователя в систему. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживание файлов PLIST, связанных с перезапуском приложений, может помочь выявить, когда приложение регистрируется для последующего перезапуска. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Эту функцию можно полностью отключить с помощью следующей команды терминала: |
---|
ID | M1017 | Название | Обучение пользователей | Описание | Удержание клавиши Shift при входе в систему предотвращает автоматическое открытие приложений. |
---|