T1547.015: Объекты входа
Для закрепления в системе или повышения своих привилегий злоумышленники могут добавить объекты входа, которые будут выполняться при входе пользователя в систему. Объекты входа — это приложения, документы, папки или соединения с сервером, которые автоматически открываются при входе пользователя в систему. Объекты входа могут быть добавлены через список общих файлов или платформу управления службами. Объекты входа в списке общих файлов могут быть заданы с помощью сценарных языков, таких как AppleScript, а в платформе управления службами можно использовать вызов API SMLoginItemSetEnabled
.
Объекты входа, установленные с помощью платформы управления службами, используют launchd
, не отображаются в параметрах системы и могут быть удалены только создавшим их приложением. Объекты входа, созданные через список общих файлов, видны в параметрах системы, могут скрывать приложение при запуске, выполняются через LaunchServices, а не launchd, и открывают приложения, документы или URL-адреса без использования Finder. Пользователи и приложения используют объекты входа для настройки пользовательской среды и запуска часто используемых служб или приложений, например почтовых клиентов, мессенджеров или музыкальных приложений.
Злоумышленники могут использовать AppleScript и вызовы нативного API для создания объектов входа с целью запуска вредоносных исполняемых файлов. До версии macOS 10.5 злоумышленники могли добавлять объекты входа, используя AppleScript для отправки событий Apple в процесс System Events, который содержит словарь AppleScript для манипуляций с объектами входа. Злоумышленники могут использовать такую команду, как tell application “System Events” to make login item at end with properties /path/to/executable
. Эта команда добавляет путь к вредоносному исполняемому файлу в файл списка объектов входа ~/Library/Application Support/com.apple.backgroundtaskmanagementagent/backgrounditems.btm
. Злоумышленники также могут эксплуатировать объекты входа для запуска исполняемых файлов с целью удаленного управления системой жертвы или повышения привилегий путем запроса учетных данных пользователя.
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor processes that start at login for unusual or unknown applications. Usual applications for login items could include what users add to configure their user environment, such as email, chat, or music applications, or what administrators include for organization settings and protections. Check for running applications from login items that also have abnormal behavior, such as establishing network connections. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | All login items created via shared file lists are viewable by using the System Preferences GUI or in the |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | All login items created via shared file lists are viewable by using the System Preferences GUI or in the |
---|