T1547.007: Перезапуск приложений

Злоумышленники могут изменять файлы PLIST для автоматического запуска приложений при входе пользователя в систему. Когда пользователь выходит из системы или выполняет перезапуск через графический интерфейс macOS, ему отображается приглашение с флажком "Снова открывать окна при повторном входе в систему". При установке этого флажка все открытые в данный момент приложения добавляются в файл списка свойств с именем com.apple.loginwindow.[UUID].plist в каталоге ~/Library/Preferences/ByHost. Приложения, указанные в этом файле, автоматически открываются при следующем входе пользователя в систему.

Злоумышленники могут закрепиться в системе, добавив в файл com.apple.loginwindow.[UUID].plist путь к вредоносному приложению для выполнения полезной нагрузки при входе пользователя в систему.

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may modify plist files to automatically run an application when a user logs in.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitoring the specific plist files associated with reopening applications can indicate when an application has registered itself to be reopened.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

This feature can be disabled entirely with the following terminal command: defaults write -g ApplePersistence -bool no.

IDM1017НазваниеОбучение пользователейОписание

Holding the Shift key while logging in prevents apps from opening automatically.