启动代理
苹果的开发者文档,每个用户的桌面进程启动用户登录其负载从属性列表中的每个发射点播用户代理的参数中发现的(plist)文件/System/Library/LaunchAgents,/Library/LaunchAgents和$HOME/Library/LaunchAgents。这些启动代理具有指向将要启动的可执行文件的属性列表文件。
攻击者可能会安装新的启动代理,该启动代理可以配置为在登录时执行,方法是使用launchd或launchctl将plist加载到适当的目录中 。可以使用相关操作系统或良性软件中的名称来伪装代理名称。启动代理是使用用户级特权创建的,并在他们登录时以用户特权执行。可以将它们设置为在特定用户登录时(在特定用户的目录结构中)或任何用户登录时(需要管理员权限)执行。
标签
ID编号: T1159
策略: 持久性
平台: macOS
所需权限: user,管理员
数据源: 文件监视,过程监视
缓解措施
| 缓解 | 描述 |
|---|---|
| 用户帐号管理 (M1018) | 限制用户使用组策略创建启动代理的能力。 |
检测
通过其他plist文件和实用程序(例如Objective-See的KnockKnock应用程序)监视Launch Agent的创建。启动代理还要求磁盘上的文件具有持久性,也可以通过其他文件监视应用程序对其进行监视。
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论