Техники: T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017
Злоумышленники могут установить постоянство, выполняя вредоносное содержимое, инициированное выполнением испорченных двоичных файлов. Двоичные файлы Mach-O имеют ряд заголовков, которые используются для выполнения определенных операций при загрузке двоичного файла. Заголовок LC_LOAD_DYLIB в двоичном файле Mach-O указывает macOS и OS X, какие динамические библиотеки (dylibs) загружать во время выполнения. Они могут быть добавлены в скомпилированный двоичный файл в произвольном порядке при условии внесения изменений в остальные поля и зависимости.(Цитата: Writing Bad Malware for OSX) Существуют инструменты для внесения таких изменений.
Злоумышленники могут модифицировать заголовки двоичных файлов Mach-O, чтобы загружать и выполнять вредоносные dylibs каждый раз, когда выполняется двоичный файл.Хотя любые изменения приводят к аннулированию цифровых подписей двоичных файлов, поскольку они модифицируются, это можно исправить, просто удалив команду LC_CODE_SIGNATURE из двоичного файла, чтобы подпись не проверялась во время загрузки.(Цит. по: Malware Persistence on OS X)
https://attack.mitre.org/techniques/T1546/006
Визуализация смежных техник для T1546.006
| № | Техника |
|---|
