T1547.007: Перезапуск приложений

Злоумышленники могут изменять файлы PLIST для автоматического запуска приложений при входе пользователя в систему. Когда пользователь выходит из системы или выполняет перезапуск через графический интерфейс macOS, ему отображается приглашение с флажком "Снова открывать окна при повторном входе в систему". При установке этого флажка все открытые в данный момент приложения добавляются в файл списка свойств с именем com.apple.loginwindow.[UUID].plist в каталоге ~/Library/Preferences/ByHost. Приложения, указанные в этом файле, автоматически открываются при следующем входе пользователя в систему.

Злоумышленники могут закрепиться в системе, добавив в файл com.apple.loginwindow.[UUID].plist путь к вредоносному приложению для выполнения полезной нагрузки при входе пользователя в систему.

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для изменения файлов PLIST с целью автоматического запуска приложений при входе пользователя в систему.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживание файлов PLIST, связанных с перезапуском приложений, может помочь выявить, когда приложение регистрируется для последующего перезапуска.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Эту функцию можно полностью отключить с помощью следующей команды терминала: defaults write -g ApplePersistence -bool no.

IDM1017НазваниеОбучение пользователейОписание

Удержание клавиши Shift при входе в систему предотвращает автоматическое открытие приложений.