Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1543.004 - Запуск демона

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1543 , T1543.001 , T1543.002 , T1543.003 , T1543.004 , T1543.005

Злоумышленники могут создавать или модифицировать Launch Daemons для выполнения вредоносной полезной нагрузки в рамках персистенции. Launch Daemons - это plist-файлы, используемые для взаимодействия с Launchd, фреймворком управления сервисами, используемым в macOS. Демонам запуска требуются повышенные привилегии для установки, они запускаются для каждого пользователя в системе перед входом в систему и работают в фоновом режиме без участия пользователя. Во время инициализации macOS процесс launchd загружает параметры для запуска демонов системного уровня по требованию из файлов plist, расположенных в /System/Library/LaunchDaemons/ и /Library/LaunchDaemons/. Необходимые параметры Launch Daemons включают Label для идентификации задачи, Program для указания пути к исполняемому файлу и RunAtLoad для указания времени запуска задачи. Демонами запуска часто пользуются для предоставления доступа к общим ресурсам, обновления программного обеспечения или выполнения задач автоматизации.(Цитата: AppleDocs Launch Agent Daemons)(Цитата: Methods of Mac Malware Persistence)(Цитата: launchd Keywords for plists)

Злоумышленники могут установить Launch Daemon, настроенный на выполнение при запуске, используя параметр RunAtLoad, установленный в true, и параметр Program, установленный на путь к вредоносному исполняемому файлу. Имя демона может быть замаскировано путем использования имени из смежной операционной системы или доброкачественного программного обеспечения (например, Masquerading).При выполнении демона запуска программа наследует права администратора.(Цитата: WireLurker)(Цитата: OSX Malware Detection)

Кроме того, изменение конфигурации системы (например, установка стороннего программного обеспечения для управления пакетами) может привести к тому, что такие папки, как usr/local/bin, станут доступными для глобальной записи.Таким образом, некачественная конфигурация может позволить злоумышленникам изменять исполняемые файлы, на которые ссылаются текущие plist-файлы Launch Daemon.(Цитата: LaunchDaemon Hijacking)(Цитата: sentinelone macos persist Jun 2019)

https://attack.mitre.org/techniques/T1543/004

← Назад

Визуализация смежных техник для T1543.004

Отрасль:
 с подтехниками
Техника

Закрыть