Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут модифицировать plist-файлы для автоматического запуска приложения при входе пользователя в систему. Когда пользователь выходит из системы или перезагружается через графический интерфейс пользователя macOS, ему выдается приглашение с флажком "Открывать окна при повторном входе".(Цитата: Re-Open windows on Mac) Когда флажок установлен, все открытые в данный момент приложения добавляются в файл списка свойств с именем com.apple.loginwindow.[UUID].plist в каталоге ~/Library/Preferences/ByHost.(Цитата: Методы защиты от вредоносного ПО на Mac)(Цитата: Глава "Защита от вредоносного ПО на Wardle") Приложения, перечисленные в этом файле, автоматически открываются заново при следующем входе пользователя в систему.
Злоумышленники могут установить Persistence, добавив путь к вредоносному приложению в файл com.apple.loginwindow.[UUID].plist, чтобы выполнять полезную нагрузку при входе пользователя в систему.
https://attack.mitre.org/techniques/T1547/007
Визуализация смежных техник для T1547.007
| № | Техника |
|---|
