سرویسهای XPC
XPC Servicesتوضیحات
مهاجمان از سرویسهای XPC macOS برای اجرای کد مخرب سوءاستفاده میکنند. XPC سرویسهای IPC هستند که به عنوان daemon با سطح دسترسی root اجرا میشوند. مهاجمان میتوانند از اعتبارسنجی ناکافی XPC client یا sanitization ضعیف ورودی برای ارتقاء سطح دسترسی استفاده کنند.
روشهای شناسایی
نظارت بر ارتباطات XPC مشکوک. شناسایی سوءاستفاده از سرویسهای XPC. بررسی لاگهای سیستم macOS. تحلیل رفتار daemonهای XPC.
روشهای مقابله
بهروزرسانی macOS. پیادهسازی اعتبارسنجی صحیح در سرویسهای XPC. استفاده از macOS Gatekeeper. نظارت بر فعالیتهای XPC. محدود کردن دسترسی به سرویسهای XPC حساس.
تکنیک اصلی
ارتباط بین فرآیندی
مهاجمان از مکانیزمهای ارتباط بین فرآیندی (IPC) برای اجرای کد یا دستورات محلی سوءاستفاده میکنند. IPC معمولاً به فرآیندها اجازه میدهد داده را به اشتراک بگذارند، ارتباط برقرار کنند یا اجرا را هماهنگ کنند، اما میتوان از آن برای اجرای کد دلخواه استفاده کرد.
سایر زیرتکنیکها (2)