Persistencia mediante launchd
¿Qué es Persistencia mediante launchd?
Persistencia mediante launchdTécnica de persistencia en macOS que instala un plist de LaunchDaemon o LaunchAgent para que launchd ejecute el código del atacante al arrancar, iniciar sesión o ante un disparador.
La persistencia por launchd (MITRE ATT&CK T1543.004) abusa del sistema de inicio launchd de macOS. Los atacantes colocan un archivo plist en /Library/LaunchDaemons (al arrancar, contexto root), /Library/LaunchAgents (cada usuario al iniciar sesión) o ~/Library/LaunchAgents (usuario actual). El plist define Label, ProgramArguments y disparadores como RunAtLoad, KeepAlive, StartInterval, WatchPaths o StartCalendarInterval. launchd mantiene y reinicia el proceso. La utilizan familias macOS como OSX/Shlayer y XCSSET. Defensas: monitorizar esos directorios con EDR o fs_usage, baseline de plists, alertas sobre ejecutables sin firmar y aprovechar TCC, SIP y perfiles MDM para restringir la escritura en rutas de sistema.
● Ejemplos
- 01
Colocar com.apple.softwareupdated.plist en /Library/LaunchDaemons que lanza /tmp/updater al arrancar.
- 02
LaunchAgent por usuario que reejecuta un implante Python en cada inicio de sesión mediante RunAtLoad.
● Preguntas frecuentes
¿Qué es Persistencia mediante launchd?
Técnica de persistencia en macOS que instala un plist de LaunchDaemon o LaunchAgent para que launchd ejecute el código del atacante al arrancar, iniciar sesión o ante un disparador. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Persistencia mediante launchd?
Técnica de persistencia en macOS que instala un plist de LaunchDaemon o LaunchAgent para que launchd ejecute el código del atacante al arrancar, iniciar sesión o ante un disparador.
¿Cómo funciona Persistencia mediante launchd?
La persistencia por launchd (MITRE ATT&CK T1543.004) abusa del sistema de inicio launchd de macOS. Los atacantes colocan un archivo plist en /Library/LaunchDaemons (al arrancar, contexto root), /Library/LaunchAgents (cada usuario al iniciar sesión) o ~/Library/LaunchAgents (usuario actual). El plist define Label, ProgramArguments y disparadores como RunAtLoad, KeepAlive, StartInterval, WatchPaths o StartCalendarInterval. launchd mantiene y reinicia el proceso. La utilizan familias macOS como OSX/Shlayer y XCSSET. Defensas: monitorizar esos directorios con EDR o fs_usage, baseline de plists, alertas sobre ejecutables sin firmar y aprovechar TCC, SIP y perfiles MDM para restringir la escritura en rutas de sistema.
¿Cómo defenderse de Persistencia mediante launchd?
Las defensas contra Persistencia mediante launchd combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Persistencia mediante launchd?
Nombres alternativos comunes: Persistencia LaunchDaemon, Persistencia LaunchAgent.
● Términos relacionados
- attacks№ 238
Persistencia mediante cron
Técnica de persistencia en Linux y Unix que utiliza cron, anacron o temporizadores de systemd para reejecutar código del atacante en un intervalo o evento del sistema.
- attacks№ 610
Secuestro mediante LD_PRELOAD
Técnica de persistencia y secuestro de librerías en Linux que usa la variable LD_PRELOAD o /etc/ld.so.preload para inyectar código del atacante en procesos enlazados dinámicamente.
- attacks№ 975
Persistencia por tarea programada
Técnica de persistencia y ejecución en la que el atacante crea o modifica una tarea programada de Windows para ejecutar su payload por inicio de sesión, arranque o temporizador.
- attacks№ 1246
Persistencia por suscripción a eventos WMI
Técnica de persistencia que registra un filtro y un consumidor permanentes de eventos WMI para que el código del atacante se ejecute cuando ocurra un evento del sistema.
- attacks№ 914
Persistencia por clave Run del registro
Técnica clásica de persistencia en Windows que añade una entrada en una clave Run o RunOnce del registro para ejecutar un binario o script cada vez que el usuario inicia sesión.
- malware№ 949
Rootkit
Malware sigiloso que concede y oculta un acceso privilegiado al sistema operativo o dispositivo, evadiendo la detección de las herramientas habituales.