Техники: T1647
Злоумышленники могут модифицировать файлы списка свойств (plist-файлы) для осуществления других вредоносных действий, а также для потенциального обхода защитных систем. Приложения macOS используют plist-файлы, например файл info.plist, для хранения свойств и параметров конфигурации, которые сообщают операционной системе, как работать с приложением во время выполнения. Файлы plist представляют собой структурированные метаданные в виде пар ключ-значение, отформатированные в XML на основе Core Foundation DTD от Apple.Файлы Plist могут быть сохранены в текстовом или двоичном формате.(Цитата: fileinfo plist file description)
Злоумышленники могут изменять пары ключ-значение в файлах plist, чтобы влиять на поведение системы, например скрывать выполнение приложения (например, Hidden Window) или запускать дополнительные команды для сохранения (например, Launch Agent/Launch Daemon или Re-opened Applications).
Например, злоумышленники могут добавить путь к вредоносному приложению в файл `~/Library/Preferences/com.apple.dock.plist`, который управляет приложениями, появляющимися в Dock. Злоумышленники также могут изменить ключ LSUIElement в файле info.plist приложения, чтобы запустить его в фоновом режиме.Злоумышленники также могут вставлять пары ключ-значение в переменные окружения, такие как LSEnvironment, чтобы включить персистентность через Dynamic Linker Hijacking.(Цитата: wardle chp2 persistence)(Цитата: eset_osx_flashback)
https://attack.mitre.org/techniques/T1647
Визуализация смежных техник для T1647
| № | Техника |
|---|
