Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1548.006 - Манипуляции с TCC

Техники:  T1548 , T1548.001 , T1548.002 , T1548.003 , T1548.004 , T1548.005 , T1548.006

Злоумышленники могут манипулировать или злоупотреблять службой или базой данных Transparency, Consent, & Control (TCC) для предоставления вредоносным исполняемым программам повышенных разрешений. TCC - это механизм управления Privacy & Security macOS, используемый для определения наличия у запущенного процесса разрешения на доступ к данным или службам, защищенным TCC, таким как разделение экрана, камера, микрофон или полный доступ к диску (FDA).

Когда приложение запрашивает доступ к данным или сервису, защищенному TCC, демон TCC (`tccd`) проверяет базу данных TCC, расположенную по адресу `/Library/Application Support/com.apple.TCC/TCC.db` (и `~/` эквивалент), и файл overwrites (если подключен к MDM) на наличие существующих разрешений. Если разрешения не существуют, то пользователю будет предложено предоставить разрешение. После предоставления разрешений база данных сохраняет разрешения приложения и не будет запрашивать их снова, если они не будут сброшены. Например, если веб-браузер запрашивает разрешение на доступ к веб-камере пользователя, то после его предоставления веб-браузер может не запрашивать его снова.(Цит. по: welivesecurity TCC)

Злоумышленники могут получить доступ к ограниченным данным или службам, защищенным TCC, используя приложения, которым ранее были предоставлены разрешения через Process Injection или выполняя вредоносный двоичный файл с помощью другого приложения. Например, злоумышленники могут использовать Finder, родное приложение macOS с разрешениями FDA, для выполнения вредоносного AppleScript. При выполнении в приложении Finder вредоносный AppleScript наследует доступ ко всем файлам в системе, не требуя приглашения пользователя. При отключении защиты целостности системы (SIP) защита TCC также отключается. В системе без включенной SIP злоумышленники могут манипулировать базой данных TCC для добавления разрешений к своему вредоносному исполняемому файлу путем загрузки контролируемой злоумышленниками базы данных TCC с помощью переменных окружения и Launchctl.(Цитата: Обход TCC macOS)(Цитата: База данных TCC)

https://attack.mitre.org/techniques/T1548/006

← Назад

Визуализация смежных техник для T1548.006

Отрасль:
 с подтехниками
Техника

Закрыть