Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1543 , T1543.001 , T1543.002 , T1543.003 , T1543.004 , T1543.005
Злоумышленники могут создавать или модифицировать агенты запуска для многократного выполнения вредоносной полезной нагрузки в рамках персистентности. При входе пользователя в систему запускается процесс launchd для каждого пользователя, который загружает параметры для каждого агента запуска по требованию из файла списка свойств (.plist), находящегося в /System/Library/LaunchAgents, /Library/LaunchAgents и ~/Library/LaunchAgents.(Цитата: AppleDocs Launch Agent Daemons) (Цитата: OSX Keydnap malware) (Цитата: Antiquated Mac Malware) Файлы списка свойств используют ключи Label, ProgramArguments и RunAtLoad для определения имени агента запуска, местоположения исполняемого файла и времени выполнения.(Цит. по: OSX.Dok Malware) Агенты запуска часто устанавливаются для выполнения обновлений программ, запуска указанных пользователем программ при входе в систему или для выполнения других задач разработчика.
Агенты запуска также могут быть запущены с помощью команды Launchctl.
Злоумышленники могут установить новый Launch Agent, запускаемый при входе в систему, поместив .plist-файл в соответствующие папки с ключами RunAtLoad или KeepAlive, установленными на true.(Цитата: Троян Sofacy Komplex) (Цитата: Методы сохранения вредоносного ПО для Mac) Имя агента запуска может быть замаскировано с помощью имени из соответствующей операционной системы или доброкачественного программного обеспечения.Агенты запуска создаются с привилегиями уровня пользователя и выполняются с правами уровня пользователя.(Цитата: OSX Malware Detection)(Цитата: OceanLotus for OS X)
https://attack.mitre.org/techniques/T1543/001
Визуализация смежных техник для T1543.001
| № | Техника |
|---|
