Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут добавлять элементы входа в систему для выполнения при входе пользователя в систему, чтобы получить постоянство или повысить привилегии. Элементы входа - это приложения, документы, папки или серверные соединения, которые автоматически запускаются при входе пользователя в систему.(Цитата: Открыть элементы входа Apple) Элементы входа могут быть добавлены через общий список файлов или Service Management Framework.(Цитата: Добавление элементов входа) Элементы входа в общий список файлов могут быть установлены с помощью языков сценариев, таких как AppleScript, тогда как Service Management Framework использует вызов API SMLoginItemSetEnabled.
Элементы входа, установленные с помощью Service Management Framework, задействуют рычаг launchd, не видны в System Preferences и могут быть удалены только создавшим их приложением.(Цитата: Adding Login Items)(Цитата: SMLoginItemSetEnabled Schroeder 2013) Элементы входа, созданные с помощью общего списка файлов, видны в System Preferences, могут скрывать приложение при его запуске и выполняются через LaunchServices, а не launchd, для открытия приложений, документов или URL-адресов без использования Finder.(Цитата: Launch Services Apple Developer) Пользователи и приложения используют элементы входа в систему для настройки пользовательского окружения для запуска часто используемых служб или приложений, таких как электронная почта, чат и музыкальные приложения.
Злоумышленники могут использовать вызовы AppleScript и Native API для создания элемента входа в систему, чтобы породить вредоносные исполняемые файлы.(Цитата: ELC Running at startup) До версии 10.5 macOS злоумышленники могли добавлять элементы входа в систему с помощью AppleScript для отправки событий Apple процессу "System Events", который содержит словарь AppleScript для манипулирования элементами входа в систему.(Цитата: Login Items AE) Злоумышленники могут использовать команду типа tell application "System Events" to make login item at end with properties /path/to/executable.(Цитата: Startup Items Eclectic)(Цитата: hexed osx.dok analysis 2019)(Цитата: Add List Remove Login Items Apple Script) Эта команда добавляет путь вредоносного исполняемого файла в список файлов элементов входа, расположенный в ~/Library/Application Support/com.apple.backgroundtaskmanagementagent/backgrounditems.btm.(Цитата: Startup Items Eclectic) Злоумышленники также могут использовать элементы входа в систему для запуска исполняемых файлов, которые могут быть использованы для удаленного управления системой жертвы или как средство повышения привилегий путем запроса учетных данных пользователя.(Цитата: objsee mac malware 2017)(Цитата: CheckPoint Dok)(Цитата: objsee netwire backdoor 2019)
https://attack.mitre.org/techniques/T1547/015
Визуализация смежных техник для T1547.015
| № | Техника |
|---|
