Техники: T1037 , T1037.001 , T1037.002 , T1037.003 , T1037.004 , T1037.005
Злоумышленники могут использовать Login Hook для создания персистентности, выполняемой при входе пользователя в систему. Login Hook - это plist-файл, который указывает на определенный скрипт, выполняемый с привилегиями root при входе пользователя в систему. Файл plist находится в файле /Library/Preferences/com.apple.loginwindow.plist и может быть изменен с помощью утилиты командной строки defaults. Такое же поведение характерно и для крючков выхода из системы, когда скрипт может быть выполнен при выходе пользователя из системы.Для изменения или создания всех хуков требуются права администратора.(Цитата: Login Scripts Apple Dev)(Цитата: LoginWindowScripts Apple Dev)
Злоумышленники могут добавить или вставить путь к вредоносному сценарию в файл com.apple.loginwindow.plist, используя пару ключ-значение LoginHook или LogoutHook. Вредоносный скрипт выполняется при следующем входе пользователя в систему. Если хук входа уже существует, злоумышленники могут добавить дополнительные команды к существующему хуку входа.системе одновременно может быть только один хук входа и выхода.(Цитата: S1 macOs Persistence)(Цитата: глава Wardle Persistence)
**Примечание:** Хуки входа были упразднены в 10.11 версии macOS в пользу Launch Daemon и Launch Agent
https://attack.mitre.org/techniques/T1037/002
Визуализация смежных техник для T1037.002
| № | Техника |
|---|
