T1569.001: Утилита launchctl
Злоумышленники могут использовать утилиту launchctl для выполнения команд или программ. Утилита launchctl взаимодействует с launchd, системой управления службами в macOS, и поддерживает выполнение подкоманд в командной строке как в интерактивном режиме, так и в режиме перенаправления стандартного потока ввода.
Злоумышленники применяют launchctl для выполнения команд и программ, таких как агенты запуска и демоны запуска. Среди часто используемых подкоманд — launchctl load
,launchctl unload
и launchctl start
. Злоумышленники могут использовать сценарии или вручную запускать команды launchctl load -w "%s/Library/LaunchAgents/%s"
или /bin/launchctl load
с целью выполнения агентов запуска или демонов запуска.
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых демонов, которые могут использовать утилиту launchctl для выполнения команд или программ. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте создание аномальных сетевых подключений сразу же после запуска команды |
---|
ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Отслеживайте создание служб и демонов, которые выполняют команды или запускают программы. Примечание. Данный метод предназначен для обнаружения попыток создания служб в пользовательском режиме — в данном случае файлы службы будут храниться в необычной подпапке в папке Windows. Аналитика 1. Создание службы с подозрительным путем к файлам
|
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Для каждого агента и демона запуска можно отслеживать соответствующий файл PLIST, который должен храниться на диске. Файлы PLIST хранятся в корневых, системных и пользовательских папках |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Не разрешайте пользователям устанавливать собственные агенты или демоны запуска. |
---|