T1547.015: Объекты входа
Для закрепления в системе или повышения своих привилегий злоумышленники могут добавить объекты входа, которые будут выполняться при входе пользователя в систему. Объекты входа — это приложения, документы, папки или соединения с сервером, которые автоматически открываются при входе пользователя в систему. Объекты входа могут быть добавлены через список общих файлов или платформу управления службами. Объекты входа в списке общих файлов могут быть заданы с помощью сценарных языков, таких как AppleScript, а в платформе управления службами можно использовать вызов API SMLoginItemSetEnabled.
Объекты входа, установленные с помощью платформы управления службами, используют launchd, не отображаются в параметрах системы и могут быть удалены только создавшим их приложением. Объекты входа, созданные через список общих файлов, видны в параметрах системы, могут скрывать приложение при запуске, выполняются через LaunchServices, а не launchd, и открывают приложения, документы или URL-адреса без использования Finder. Пользователи и приложения используют объекты входа для настройки пользовательской среды и запуска часто используемых служб или приложений, например почтовых клиентов, мессенджеров или музыкальных приложений.
Злоумышленники могут использовать AppleScript и вызовы нативного API для создания объектов входа с целью запуска вредоносных исполняемых файлов. До версии macOS 10.5 злоумышленники могли добавлять объекты входа, используя AppleScript для отправки событий Apple в процесс System Events, который содержит словарь AppleScript для манипуляций с объектами входа. Злоумышленники могут использовать такую команду, как tell application “System Events” to make login item at end with properties /path/to/executable. Эта команда добавляет путь к вредоносному исполняемому файлу в файл списка объектов входа ~/Library/Application Support/com.apple.backgroundtaskmanagementagent/backgrounditems.btm. Злоумышленники также могут эксплуатировать объекты входа для запуска исполняемых файлов с целью удаленного управления системой жертвы или повышения привилегий путем запроса учетных данных пользователя.
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Со всеми объектами входа, созданными через общие списки файлов, можно ознакомиться в системных настройках с помощью графического интерфейса или в файле |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Со всеми объектами входа, созданными через общие списки файлов, можно ознакомиться в системных настройках с помощью графического интерфейса или в файле |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск нетипичных или неизвестных приложений в момент входа пользователя в систему. Типичными могут считаться приложения, добавленные пользователем в автозагрузку при настройке рабочей среды, например почтовые клиенты, мессенджеры или музыкальные приложения, а также приложения, добавленные администраторами при настройке корпоративной среды и механизмов защиты. Проверяйте автоматически запущенные приложения, в частности, на предмет аномального поведения, например установления сетевых подключений. |
|---|