T1569.001: Утилита launchctl
Злоумышленники могут использовать утилиту launchctl для выполнения команд или программ. Утилита launchctl взаимодействует с launchd, системой управления службами в macOS, и поддерживает выполнение подкоманд в командной строке как в интерактивном режиме, так и в режиме перенаправления стандартного потока ввода.
Злоумышленники применяют launchctl для выполнения команд и программ, таких как агенты запуска и демоны запуска. Среди часто используемых подкоманд — launchctl load
,launchctl unload
и launchctl start
. Злоумышленники могут использовать сценарии или вручную запускать команды launchctl load -w "%s/Library/LaunchAgents/%s"
или /bin/launchctl load
с целью выполнения агентов запуска или демонов запуска.
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor for newly executed daemons that may abuse launchctl to execute commands or programs. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor command-line execution of the |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Every Launch Agent and Launch Daemon must have a corresponding plist file on disk which can be monitored. Plist files are located in the root, system, and users |
---|
ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Monitor for newly constructed services/daemons to execute commands or programs. Notes: This detection is to identify a creation of “user mode service” where the service file path is located in non-common service folder in windows. Analytic 1 - Create Service In Suspicious File Path
|
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Prevent users from installing their own launch agents or launch daemons. |
---|