T1547.007: Перезапуск приложений
Злоумышленники могут изменять файлы PLIST для автоматического запуска приложений при входе пользователя в систему. Когда пользователь выходит из системы или выполняет перезапуск через графический интерфейс macOS, ему отображается приглашение с флажком "Снова открывать окна при повторном входе в систему". При установке этого флажка все открытые в данный момент приложения добавляются в файл списка свойств с именем com.apple.loginwindow.[UUID].plist
в каталоге ~/Library/Preferences/ByHost
. Приложения, указанные в этом файле, автоматически открываются при следующем входе пользователя в систему.
Злоумышленники могут закрепиться в системе, добавив в файл com.apple.loginwindow.[UUID].plist
путь к вредоносному приложению для выполнения полезной нагрузки при входе пользователя в систему.
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may modify plist files to automatically run an application when a user logs in. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitoring the specific plist files associated with reopening applications can indicate when an application has registered itself to be reopened. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | This feature can be disabled entirely with the following terminal command: |
---|
ID | M1017 | Название | Обучение пользователей | Описание | Holding the Shift key while logging in prevents apps from opening automatically. |
---|