Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1059.002 - AppleScript

Техники:  T1059 , T1059.001 , T1059.002 , T1059.003 , T1059.004 , T1059.005 , T1059.006 , T1059.007 , T1059.008 , T1059.009 , T1059.010 , T1059.011

Злоумышленники могут использовать AppleScript для выполнения. AppleScript - это язык сценариев macOS, предназначенный для управления приложениями и частями ОС с помощью межприкладных сообщений, называемых AppleEvents.(Цитата: Apple AppleScript) Эти сообщения AppleEvent можно отправлять самостоятельно или легко заскриптовать с помощью AppleScript. Эти события могут находить открытые окна, отправлять нажатия клавиш и взаимодействовать практически с любым открытым приложением локально или удаленно.

Сценарии можно запускать из командной строки с помощью команды osascript /path/to/script или osascript -e "script here". Помимо командной строки, сценарии можно запускать различными способами, включая правила Mail, оповещения Calendar.app и рабочие процессы Automator.AppleScript также можно выполнять как обычные текстовые сценарии оболочки, добавив #!/usr/bin/osascript в начало файла сценария.(Цит. по: SentinelOne AppleScript)

Для выполнения сценариев AppleScript не обязательно вызывать osascript. Однако они могут быть выполнены из двоичных файлов mach-O с помощью Native API macOS NSAppleScript или OSAScript, которые выполняют код независимо от утилиты командной строки /usr/bin/osascript.

Злоумышленники могут использовать AppleScript для выполнения различных действий, таких как взаимодействие с открытым SSH-соединением, перемещение на удаленные машины и даже представление пользователям поддельных диалоговых окон. Эти события не могут запускать приложения удаленно (они могут запускать их локально), но они могут взаимодействовать с приложениями, если они уже запущены удаленно.В macOS 10.10 Yosemite и выше AppleScript способен выполнять Native API, которые в противном случае требуют компиляции и исполнения в формате двоичных файлов mach-O.(Цитата: SentinelOne macOS Red Team) Поскольку это скриптовый язык, он может использоваться и для запуска более распространенных методов, таких как обратный shell через Python.(Цитата: Macro Malware Targets Macs)

https://attack.mitre.org/techniques/T1059/002

← Назад

Визуализация смежных техник для T1059.002

Отрасль:
 с подтехниками
Техника

Закрыть