Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1037 , T1037.001 , T1037.002 , T1037.003 , T1037.004 , T1037.005
Злоумышленники могут использовать элементы запуска, автоматически выполняемые при инициализации загрузки, для установления постоянства.Элементы запуска выполняются на заключительном этапе процесса загрузки и содержат сценарии оболочки или другие исполняемые файлы вместе с информацией о конфигурации, используемой системой для определения порядка выполнения всех элементов запуска.(Цитата: Startup Items)
Технически это устаревшая технология (заменена Launch Daemon), поэтому наличие соответствующей папки /Library/StartupItems в системе по умолчанию не гарантируется, но в macOS Sierra она, похоже, существует по умолчанию. Элемент запуска - это каталог, исполняемый файл которого и список свойств конфигурации (plist), StartupParameters.plist, находятся в каталоге верхнего уровня.
Злоумышленник может создать соответствующие папки/файлы в каталоге StartupItems, чтобы зарегистрировать свой собственный механизм сохранения.(Цитата: Methods of Mac Malware Persistence) Кроме того, поскольку StartupItems запускаются на этапе загрузки macOS, они будут работать от имени пользователя root с повышенными правами.
https://attack.mitre.org/techniques/T1037/005
Визуализация смежных техник для T1037.005
| № | Техника |
|---|
