T1569.001: Утилита launchctl

Злоумышленники могут использовать утилиту launchctl для выполнения команд или программ. Утилита launchctl взаимодействует с launchd, системой управления службами в macOS, и поддерживает выполнение подкоманд в командной строке как в интерактивном режиме, так и в режиме перенаправления стандартного потока ввода.

Злоумышленники применяют launchctl для выполнения команд и программ, таких как агенты запуска и демоны запуска. Среди часто используемых подкоманд — launchctl load,launchctl unload и launchctl start. Злоумышленники могут использовать сценарии или вручную запускать команды launchctl load -w "%s/Library/LaunchAgents/%s" или /bin/launchctl load с целью выполнения агентов запуска или демонов запуска.

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for newly executed daemons that may abuse launchctl to execute commands or programs.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor command-line execution of the launchctl command immediately followed by abnormal network connections.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Every Launch Agent and Launch Daemon must have a corresponding plist file on disk which can be monitored. Plist files are located in the root, system, and users /Library/LaunchAgents or /Library/LaunchDaemons folders. Launch Agent or Launch Daemon with executable paths pointing to /tmp and /Shared folders locations are potentially suspicious.

IDDS0019Источник и компонент данныхСлужба: Создание службыОписание

Monitor for newly constructed services/daemons to execute commands or programs.

Notes: This detection is to identify a creation of “user mode service” where the service file path is located in non-common service folder in windows.

Analytic 1 - Create Service In Suspicious File Path

(source="WinEventLog:Security" EventCode="4697") OR (source="WinEventLog:System" EventCode="7045") Service_File_Name = ".exe" NOT (Service_File_Name IN ("C:\Windows\", "%windir%\", "C:\Program File", "C:\Programdata\", "%systemroot%\")) Service_Type = "user mode service"

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Prevent users from installing their own launch agents or launch daemons.