T1543.001

Launch Agent

توضیحات

مهاجمان فایل‌های plist مربوط به Launch Agent در macOS را ایجاد یا تغییر می‌دهند تا کد مخرب را با سطح دسترسی کاربر اجرا کنند. Launch Agent‌ها در ~/Library/LaunchAgents/ و /Library/LaunchAgents/ قرار دارند و در هنگام ورود کاربر اجرا می‌شوند.

روش‌های شناسایی

نظارت بر تغییرات فایل‌های plist در مسیرهای LaunchAgent. بررسی Launch Agent‌های جدید. شناسایی Launch Agent‌های با مسیرهای مشکوک. تحلیل فرآیندهای اجرا شده توسط launchd.

روش‌های مقابله

نظارت بر LaunchAgent‌ها. بررسی منظم فایل‌های plist. محدود کردن دسترسی به مسیرهای LaunchAgent. استفاده از macOS Gatekeeper. پیاده‌سازی Application Whitelisting.

تکنیک اصلی

T1543Create or Modify System Process

ایجاد یا تغییر فرآیند سیستمی

مهاجمان فرآیندهای سطح سیستم را ایجاد یا تغییر می‌دهند تا کد مخرب را به طور مکرر اجرا کنند. سرویس‌های ویندوز، daemon‌های لینوکس و Launch Agent/Daemon‌های macOS می‌توانند برای اجرای payload‌های مخرب با سطح دسترسی بالا پیکربندی شوند.

سایر زیرتکنیک‌ها (3)

T1543.002 · سرویس Systemd T1543.003 · سرویس ویندوز T1543.004 · Launch Daemon