T1647: Изменение файла PLIST
Злоумышленники могут изменить файлы PLIST для обхода системных средств защиты, а также выполнения дальнейших вредоносных действий. Приложения macOS используют файлы PLIST, например info.plist
, для хранения свойств и параметров конфигурации, которые определяют, как операционная система должна обращаться с приложением во время его выполнения. Файлы PLIST содержат структурированные метаданные в виде пар "ключ — значение", которые отформатированы в XML по стандарту Apple Core Foundation. Файлы PLIST могут быть сохранены в текстовом или бинарном формате.
Злоумышленники могут изменять пары "ключ — значение" в файлах PLIST, чтобы вызвать нужное им поведение системы. Так, они могут скрывать выполнение приложения (например, используя технику Скрытое окно) или выполнять дополнительные команды для закрепления в системе (например, используя техники Агент запуска, Демон запуска или Перезапуск приложений).
Например, злоумышленники могут добавить путь к вредоносному приложению в файл \~/Library/Preferences/com.apple.dock.plist
, который определяет приложения, отображаемые в панели Dock. Также они могут изменить ключ LSUIElement
в файле info.plist
приложения, чтобы оно запускалось в фоновом режиме. Злоумышленники также могут вставлять в файлы PLIST пары "ключ — значение" для добавления переменных окружения, таких как LSEnvironment
, чтобы обеспечить закрепление через перехват динамического компоновщика.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для модификации файлов PLIST (например, открывающих стандартные редакторы командной строки), особенно файлов, расположенных в каталогах |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов с аргументами, которые могут использоваться для модификации файлов со списками свойств (PLIST). |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения файлов PLIST, особенно если за ними следуют другие подозрительные действия, например, выполнение кода из каталогов |
---|
Меры противодействия
ID | M1013 | Название | Руководство для разработчиков приложений | Описание | Проследите, чтобы приложения использовали рекомендации для разработчиков Apple, которые предусматривают активацию Hardened Runtime. |
---|