T1647
تغییر فایل Plist
Plist File Modificationتوضیحات
مهاجمان فایلهای property list (plist) در macOS را تغییر میدهند تا فعالیت مخرب را فعال کنند و از دفاعها فرار کنند. فایلهای plist برای ذخیره تنظیمات برنامهها و سرویسهای macOS استفاده میشوند. مهاجمان میتوانند key-value pairها را تغییر دهند تا اجرای برنامه را پنهان کنند یا پایداری ایجاد کنند.
روشهای شناسایی
نظارت بر تغییرات فایلهای plist. بررسی فایلهای plist در مسیرهای Launch Agent و Daemon. شناسایی تغییرات مشکوک در تنظیمات برنامه. تحلیل محتوای فایلهای plist.
روشهای مقابله
نظارت بر فایلهای plist. استفاده از File Integrity Monitoring. محدود کردن دسترسی به تغییر فایلهای plist. استفاده از macOS Gatekeeper. بررسی منظم فایلهای plist.