Persistencia mediante launchd
¿Qué es Persistencia mediante launchd?
Persistencia mediante launchdTécnica de persistencia en macOS que instala un plist de LaunchDaemon o LaunchAgent para que launchd ejecute el código del atacante al arrancar, iniciar sesión o ante un disparador.
La persistencia por launchd (MITRE ATT&CK T1543.004) abusa del sistema de inicio launchd de macOS. Los atacantes colocan un archivo plist en /Library/LaunchDaemons (al arrancar, contexto root), /Library/LaunchAgents (cada usuario al iniciar sesión) o ~/Library/LaunchAgents (usuario actual). El plist define Label, ProgramArguments y disparadores como RunAtLoad, KeepAlive, StartInterval, WatchPaths o StartCalendarInterval. launchd mantiene y reinicia el proceso. La utilizan familias macOS como OSX/Shlayer y XCSSET. Defensas: monitorizar esos directorios con EDR o fs_usage, baseline de plists, alertas sobre ejecutables sin firmar y aprovechar TCC, SIP y perfiles MDM para restringir la escritura en rutas de sistema.
● Ejemplos
- 01
Colocar com.apple.softwareupdated.plist en /Library/LaunchDaemons que lanza /tmp/updater al arrancar.
- 02
LaunchAgent por usuario que reejecuta un implante Python en cada inicio de sesión mediante RunAtLoad.
● Preguntas frecuentes
¿Qué es Persistencia mediante launchd?
Técnica de persistencia en macOS que instala un plist de LaunchDaemon o LaunchAgent para que launchd ejecute el código del atacante al arrancar, iniciar sesión o ante un disparador. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Persistencia mediante launchd?
Técnica de persistencia en macOS que instala un plist de LaunchDaemon o LaunchAgent para que launchd ejecute el código del atacante al arrancar, iniciar sesión o ante un disparador.
¿Cómo defenderse de Persistencia mediante launchd?
Las defensas contra Persistencia mediante launchd combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Persistencia mediante launchd?
Nombres alternativos comunes: Persistencia LaunchDaemon, Persistencia LaunchAgent.