T1547.015

آیتم‌های ورود

توضیحات

مهاجمان Login Items در macOS را اضافه یا تغییر می‌دهند تا برنامه‌های مخرب در هنگام ورود کاربر اجرا شوند. Login Items در System Preferences > Users & Groups قابل مشاهده هستند. مهاجمان می‌توانند از AppleScript یا SMLoginItemSetEnabled API برای اضافه کردن Login Items استفاده کنند.

روش‌های شناسایی

نظارت بر تغییرات Login Items. بررسی لیست Login Items. شناسایی Login Items مشکوک. تحلیل فرآیندهای اجرا شده در هنگام ورود.

روش‌های مقابله

نظارت بر Login Items. بررسی منظم Login Items. محدود کردن دسترسی به تغییر Login Items. استفاده از macOS Gatekeeper. پیاده‌سازی Application Whitelisting.

تکنیک اصلی

T1547Boot or Logon Autostart Execution

اجرای خودکار در بوت یا ورود

مهاجمان برنامه‌ها یا دستوراتی را پیکربندی می‌کنند که به طور خودکار در هنگام بوت سیستم یا ورود کاربر اجرا می‌شوند. این تکنیک برای ایجاد پایداری استفاده می‌شود تا کد مخرب پس از راه‌اندازی مجدد سیستم نیز اجرا شود. روش‌های متعددی در ویندوز، لینوکس و macOS برای این منظور وجود دارد.

سایر زیرتکنیک‌ها (4)

T1547.001 · کلیدهای Run رجیستری / پوشه Startup T1547.004 · DLL کمکی Winlogon T1547.006 · ماژول‌های هسته و افزونه‌ها T1547.009 · تغییر میانبر