T1543.004

Launch Daemon

Launch Daemon

توضیحات

مهاجمان فایل‌های plist مربوط به Launch Daemon در macOS را ایجاد یا تغییر می‌دهند تا payload‌های مخرب را با سطح دسترسی root اجرا کنند. Launch Daemon‌ها در /Library/LaunchDaemons/ قرار دارند و قبل از ورود کاربر اجرا می‌شوند.

روش‌های شناسایی

نظارت بر تغییرات فایل‌های plist در مسیر LaunchDaemons. بررسی Launch Daemon‌های جدید. شناسایی daemon‌های با مسیرهای مشکوک. تحلیل فرآیندهای اجرا شده با root.

روش‌های مقابله

نظارت بر LaunchDaemon‌ها. بررسی منظم فایل‌های plist. محدود کردن دسترسی به /Library/LaunchDaemons/. استفاده از macOS Gatekeeper. پیاده‌سازی Application Whitelisting.

تکنیک اصلی

T1543Create or Modify System Process

ایجاد یا تغییر فرآیند سیستمی

مهاجمان فرآیندهای سطح سیستم را ایجاد یا تغییر می‌دهند تا کد مخرب را به طور مکرر اجرا کنند. سرویس‌های ویندوز، daemon‌های لینوکس و Launch Agent/Daemon‌های macOS می‌توانند برای اجرای payload‌های مخرب با سطح دسترسی بالا پیکربندی شوند.