launchd-Persistenz
Was ist launchd-Persistenz?
launchd-PersistenzmacOS-Persistenztechnik, die ein LaunchDaemon- oder LaunchAgent-Plist hinterlegt, damit launchd Angreifercode beim Boot, Login oder bei einem Trigger ausführt.
launchd-Persistenz (MITRE ATT&CK T1543.004) missbraucht das macOS-Init-System launchd. Angreifer legen eine Plist-Datei in /Library/LaunchDaemons (Boot, Root-Kontext), /Library/LaunchAgents (für alle Benutzer beim Login) oder ~/Library/LaunchAgents (aktueller Benutzer) ab. Die Plist definiert Label, ProgramArguments und Trigger wie RunAtLoad, KeepAlive, StartInterval, WatchPaths oder StartCalendarInterval. launchd hält den Prozess am Leben und startet ihn bei Bedarf neu. macOS-Malware wie OSX/Shlayer oder XCSSET nutzt die Methode. Abwehr: LaunchDaemon-/Agent-Verzeichnisse mit EDR oder fs_usage überwachen, Plists baselinen, Alarme bei unsignierten Executables, und Schreibrechte mittels TCC, SIP und MDM-Profilen einschränken.
● Beispiele
- 01
Ablegen von com.apple.softwareupdated.plist in /Library/LaunchDaemons, das beim Boot /tmp/updater startet.
- 02
Benutzerbasierter LaunchAgent, der per RunAtLoad bei jedem Login einen Python-Implant ausführt.
● Häufige Fragen
Was ist launchd-Persistenz?
macOS-Persistenztechnik, die ein LaunchDaemon- oder LaunchAgent-Plist hinterlegt, damit launchd Angreifercode beim Boot, Login oder bei einem Trigger ausführt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet launchd-Persistenz?
macOS-Persistenztechnik, die ein LaunchDaemon- oder LaunchAgent-Plist hinterlegt, damit launchd Angreifercode beim Boot, Login oder bei einem Trigger ausführt.
Wie funktioniert launchd-Persistenz?
launchd-Persistenz (MITRE ATT&CK T1543.004) missbraucht das macOS-Init-System launchd. Angreifer legen eine Plist-Datei in /Library/LaunchDaemons (Boot, Root-Kontext), /Library/LaunchAgents (für alle Benutzer beim Login) oder ~/Library/LaunchAgents (aktueller Benutzer) ab. Die Plist definiert Label, ProgramArguments und Trigger wie RunAtLoad, KeepAlive, StartInterval, WatchPaths oder StartCalendarInterval. launchd hält den Prozess am Leben und startet ihn bei Bedarf neu. macOS-Malware wie OSX/Shlayer oder XCSSET nutzt die Methode. Abwehr: LaunchDaemon-/Agent-Verzeichnisse mit EDR oder fs_usage überwachen, Plists baselinen, Alarme bei unsignierten Executables, und Schreibrechte mittels TCC, SIP und MDM-Profilen einschränken.
Wie schützt man sich gegen launchd-Persistenz?
Schutzmaßnahmen gegen launchd-Persistenz kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für launchd-Persistenz?
Übliche alternative Bezeichnungen: LaunchDaemon-Persistenz, LaunchAgent-Persistenz.
● Verwandte Begriffe
- attacks№ 238
Cron-Persistenz
Linux- und Unix-Persistenztechnik, die cron, anacron oder systemd-Timer nutzt, um Angreifercode in einem gewählten Intervall oder bei einem Systemereignis erneut auszuführen.
- attacks№ 610
LD_PRELOAD-Hijacking
Linux-Persistenz- und Library-Hijacking-Technik, die die Umgebungsvariable LD_PRELOAD oder /etc/ld.so.preload nutzt, um Angreifercode in dynamisch gelinkte Prozesse zu injizieren.
- attacks№ 975
Geplante-Aufgaben-Persistenz
Persistenz- und Ausführungstechnik, bei der ein Angreifer eine Windows-Aufgabenplanungs-Aufgabe anlegt oder ändert, um sein Payload bei Logon, Boot oder Timer auszuführen.
- attacks№ 1246
WMI-Event-Subscription-Persistenz
Persistenztechnik, die einen permanenten WMI-Event-Filter und -Consumer registriert, sodass Angreifercode bei einem definierten Systemereignis ausgeführt wird.
- attacks№ 914
Run-Schlüssel-Persistenz
Klassische Windows-Persistenztechnik, die einen Eintrag unter einem Run- oder RunOnce-Registry-Schlüssel anlegt, damit ein Binary oder Skript bei jedem Logon ausgeführt wird.
- malware№ 949
Rootkit
Tarn-Malware, die einem Angreifer privilegierten Zugriff auf ein Betriebssystem oder Gerät gewährt und ihn vor üblichen Werkzeugen versteckt.