T1569.001: Утилита launchctl

Злоумышленники могут использовать утилиту launchctl для выполнения команд или программ. Утилита launchctl взаимодействует с launchd, системой управления службами в macOS, и поддерживает выполнение подкоманд в командной строке как в интерактивном режиме, так и в режиме перенаправления стандартного потока ввода.

Злоумышленники применяют launchctl для выполнения команд и программ, таких как агенты запуска и демоны запуска. Среди часто используемых подкоманд — launchctl load,launchctl unload и launchctl start. Злоумышленники могут использовать сценарии или вручную запускать команды launchctl load -w "%s/Library/LaunchAgents/%s" или /bin/launchctl load с целью выполнения агентов запуска или демонов запуска.

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых демонов, которые могут использовать утилиту launchctl для выполнения команд или программ.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте создание аномальных сетевых подключений сразу же после запуска команды launchctl через командную строку.

IDDS0019Источник и компонент данныхСлужба: Создание службыОписание

Отслеживайте создание служб и демонов, которые выполняют команды или запускают программы.

Примечание. Данный метод предназначен для обнаружения попыток создания служб в пользовательском режиме — в данном случае файлы службы будут храниться в необычной подпапке в папке Windows.

Аналитика 1. Создание службы с подозрительным путем к файлам

(source="WinEventLog:Security" EventCode="4697") OR (source="WinEventLog:System" EventCode="7045") Service_File_Name = ".exe" NOT (Service_File_Name IN ("C:\Windows\", "%windir%\", "C:\Program File", "C:\Programdata\", "%systemroot%\")) Service_Type = "user mode service"

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Для каждого агента и демона запуска можно отслеживать соответствующий файл PLIST, который должен храниться на диске. Файлы PLIST хранятся в корневых, системных и пользовательских папках /Library/LaunchAgents и /Library/LaunchDaemons. Агенты запуска и демоны запуска, исполняемые файлы которых хранятся в папках /tmp или /Shared, стоит считать подозрительными.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Не разрешайте пользователям устанавливать собственные агенты или демоны запуска.