T1548.006

دستکاری TCC

TCC Manipulation

توضیحات

مهاجمان Transparency, Consent, and Control (TCC) در macOS را دستکاری می‌کنند تا به منابع حساس مانند دوربین، میکروفون و فایل‌های کاربر دسترسی پیدا کنند. TCC یک چارچوب حریم خصوصی macOS است که دسترسی برنامه‌ها به منابع حساس را کنترل می‌کند.

روش‌های شناسایی

نظارت بر تغییرات پایگاه داده TCC. بررسی دسترسی‌های غیرعادی به منابع حساس. شناسایی تغییرات مشکوک در تنظیمات حریم خصوصی. تحلیل لاگ‌های macOS.

روش‌های مقابله

نظارت بر پایگاه داده TCC. به‌روزرسانی macOS. استفاده از macOS Gatekeeper. محدود کردن دسترسی به تغییر TCC. بررسی منظم مجوزهای برنامه‌ها.

تکنیک اصلی

T1548Abuse Elevation Control Mechanism

سوءاستفاده از مکانیزم کنترل ارتقاء

مهاجمان از مکانیزم‌های طراحی شده برای کنترل سطوح دسترسی بالاتر سوءاستفاده می‌کنند. این مکانیزم‌ها مانند UAC در ویندوز، sudo در لینوکس و macOS برای جلوگیری از اجرای غیرمجاز کد با سطح دسترسی بالا طراحی شده‌اند. مهاجمان می‌توانند این مکانیزم‌ها را دور بزنند تا بدون اطلاع کاربر به سطح دسترسی بالاتر برسند.

سایر زیرتکنیک‌ها (5)

T1548.001 · Setuid و Setgid T1548.002 · دور زدن کنترل حساب کاربری T1548.003 · Sudo و کش Sudo T1548.004 · اجرای elevated با prompt T1548.005 · دسترسی موقت elevated ابری