T1647: Изменение файла PLIST

Злоумышленники могут изменить файлы PLIST для обхода системных средств защиты, а также выполнения дальнейших вредоносных действий. Приложения macOS используют файлы PLIST, например info.plist, для хранения свойств и параметров конфигурации, которые определяют, как операционная система должна обращаться с приложением во время его выполнения. Файлы PLIST содержат структурированные метаданные в виде пар "ключ — значение", которые отформатированы в XML по стандарту Apple Core Foundation. Файлы PLIST могут быть сохранены в текстовом или бинарном формате.

Злоумышленники могут изменять пары "ключ — значение" в файлах PLIST, чтобы вызвать нужное им поведение системы. Так, они могут скрывать выполнение приложения (например, используя технику Скрытое окно) или выполнять дополнительные команды для закрепления в системе (например, используя техники Агент запуска, Демон запуска или Перезапуск приложений).

Например, злоумышленники могут добавить путь к вредоносному приложению в файл \~/Library/Preferences/com.apple.dock.plist, который определяет приложения, отображаемые в панели Dock. Также они могут изменить ключ LSUIElement в файле info.plist приложения, чтобы оно запускалось в фоновом режиме. Злоумышленники также могут вставлять в файлы PLIST пары "ключ — значение" для добавления переменных окружения, таких как LSEnvironment, чтобы обеспечить закрепление через перехват динамического компоновщика.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для модификации файлов PLIST (например, открывающих стандартные редакторы командной строки), особенно файлов, расположенных в каталогах \/LaunchAgents, \/Library/Application Support/com.apple.backgroundtaskmanagementagent/backgrounditems.btm, и файлов приложений Info.plist, которые часто становятся мишенью злоумышленников.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов с аргументами, которые могут использоваться для модификации файлов со списками свойств (PLIST).

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения файлов PLIST, особенно если за ними следуют другие подозрительные действия, например, выполнение кода из каталогов \/Library/Scripts или \/Library/Preferences. Кроме того, рекомендуется отслеживать существенные изменения в путях, указанных в файлах PLIST.

Меры противодействия

IDM1013НазваниеРуководство для разработчиков приложенийОписание

Проследите, чтобы приложения использовали рекомендации для разработчиков Apple, которые предусматривают активацию Hardened Runtime.