Launchctl
Launchctlتوضیحات
مهاجمان از launchctl در macOS برای مدیریت و اجرای سرویسهای LaunchAgent و LaunchDaemon سوءاستفاده میکنند. launchctl ابزار خط فرمان macOS برای تعامل با launchd است. مهاجمان میتوانند از launchctl برای بارگذاری سرویسهای مخرب و اجرای کد با سطح دسترسی بالا استفاده کنند.
روشهای شناسایی
نظارت بر استفاده از launchctl. بررسی LaunchAgent و LaunchDaemonهای جدید. شناسایی سرویسهای با مسیرهای مشکوک. تحلیل لاگهای launchd.
روشهای مقابله
نظارت بر تغییرات LaunchAgent و LaunchDaemon. محدود کردن دسترسی به launchctl. بهروزرسانی macOS. استفاده از macOS Gatekeeper. بررسی منظم سرویسهای launchd.
تکنیک اصلی
سرویسهای سیستمی
مهاجمان از سرویسها یا daemonهای سیستمی برای اجرای دستورات یا برنامهها سوءاستفاده میکنند. سرویسها اغلب در هنگام بوت سیستم برای پایداری اجرا میشوند، اما میتوانند برای اجرای موقت نیز استفاده شوند. این تکنیک در پلتفرمهای ویندوز، لینوکس و macOS قابل اجرا است.
سایر زیرتکنیکها (2)