Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1548 , T1548.001 , T1548.002 , T1548.003 , T1548.004 , T1548.005 , T1548.006
Злоумышленники могут использовать API AuthorizationExecuteWithPrivileges для повышения привилегий, запрашивая у пользователя учетные данные.(Цитата: AppleDocs AuthorizationExecuteWithPrivileges) Цель этого API - предоставить разработчикам приложений простой способ выполнения операций с привилегиями root, например, для установки или обновления приложений. Этот API не проверяет, что программа, запрашивающая привилегии root, получена из надежного источника или была злонамеренно изменена.
Хотя этот API устарел, он по-прежнему полностью функционирует в последних выпусках macOS. При вызове этого API пользователю будет предложено ввести свои учетные данные, но никаких проверок происхождения или целостности программы не производится. Программа, вызывающая API, также может загружать файлы, доступные для записи в мире, которые могут быть модифицированы для выполнения вредоносного поведения с повышенными привилегиями.
Злоумышленники могут злоупотреблять AuthorizationExecuteWithPrivileges для получения привилегий root, чтобы установить вредоносное ПО на жертву и установить механизмы сохранения.(Цитата: Death by 1000 installers; it's all broken!)(Цитата: Carbon Black Shlayer Feb 2019)(Цитата: OSX Coldroot RAT) Эта техника может быть объединена с Masquerading, чтобы обманом заставить пользователя предоставить повышенные привилегии вредоносному коду.(Цитата: Death by 1000 installers; it's all broken!)(Цитата: Carbon Black Shlayer Feb 2019) Также было показано, что эта техника работает путем модификации легитимных программ, присутствующих на машине и использующих этот API.(Цитата: Death by 1000 installers; it's all broken!)
https://attack.mitre.org/techniques/T1548/004
Визуализация смежных техник для T1548.004
| № | Техника |
|---|
