Persistance launchd
Qu'est-ce que Persistance launchd ?
Persistance launchdTechnique de persistance macOS qui installe un plist LaunchDaemon ou LaunchAgent pour faire exécuter du code par launchd au démarrage, à l'ouverture de session ou sur un déclencheur.
La persistance launchd (MITRE ATT&CK T1543.004) abuse de l'init système launchd de macOS. Les attaquants déposent un plist dans /Library/LaunchDaemons (boot, contexte root), /Library/LaunchAgents (chaque utilisateur à l'ouverture de session) ou ~/Library/LaunchAgents (utilisateur courant). Le plist définit Label, ProgramArguments et déclencheurs tels que RunAtLoad, KeepAlive, StartInterval, WatchPaths ou StartCalendarInterval. launchd maintient le processus et le relance s'il meurt. La technique est utilisée par des malwares macOS comme OSX/Shlayer et XCSSET. Défenses : surveiller ces répertoires via EDR ou fs_usage, baseline des plists, alertes sur les exécutables non signés, et restreindre l'écriture par TCC, SIP et profils MDM.
● Exemples
- 01
Déposer com.apple.softwareupdated.plist dans /Library/LaunchDaemons pour lancer /tmp/updater au démarrage.
- 02
LaunchAgent par utilisateur qui relance un implant Python à chaque ouverture de session via RunAtLoad.
● Questions fréquentes
Qu'est-ce que Persistance launchd ?
Technique de persistance macOS qui installe un plist LaunchDaemon ou LaunchAgent pour faire exécuter du code par launchd au démarrage, à l'ouverture de session ou sur un déclencheur. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Persistance launchd ?
Technique de persistance macOS qui installe un plist LaunchDaemon ou LaunchAgent pour faire exécuter du code par launchd au démarrage, à l'ouverture de session ou sur un déclencheur.
Comment fonctionne Persistance launchd ?
La persistance launchd (MITRE ATT&CK T1543.004) abuse de l'init système launchd de macOS. Les attaquants déposent un plist dans /Library/LaunchDaemons (boot, contexte root), /Library/LaunchAgents (chaque utilisateur à l'ouverture de session) ou ~/Library/LaunchAgents (utilisateur courant). Le plist définit Label, ProgramArguments et déclencheurs tels que RunAtLoad, KeepAlive, StartInterval, WatchPaths ou StartCalendarInterval. launchd maintient le processus et le relance s'il meurt. La technique est utilisée par des malwares macOS comme OSX/Shlayer et XCSSET. Défenses : surveiller ces répertoires via EDR ou fs_usage, baseline des plists, alertes sur les exécutables non signés, et restreindre l'écriture par TCC, SIP et profils MDM.
Comment se défendre contre Persistance launchd ?
Les défenses contre Persistance launchd combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Persistance launchd ?
Noms alternatifs courants : Persistance LaunchDaemon, Persistance LaunchAgent.
● Termes liés
- attacks№ 238
Persistance via cron
Technique de persistance Linux/Unix utilisant cron, anacron ou les timers systemd pour réexécuter du code attaquant à un intervalle ou un événement choisi.
- attacks№ 610
Détournement LD_PRELOAD
Technique Linux de persistance et de détournement de bibliothèque qui exploite la variable LD_PRELOAD ou /etc/ld.so.preload pour injecter du code dans les processus liés dynamiquement.
- attacks№ 975
Persistance par tâche planifiée
Technique de persistance et d'exécution où l'attaquant crée ou modifie une tâche planifiée Windows pour lancer son code lors d'un déclencheur (logon, démarrage, minuterie).
- attacks№ 1246
Persistance par souscription d'événement WMI
Technique de persistance qui enregistre un filtre et un consommateur d'événements WMI permanents pour exécuter du code attaquant lors d'un événement système choisi.
- attacks№ 914
Persistance par clé Run du registre
Technique classique de persistance Windows qui ajoute une entrée sous une clé Run ou RunOnce afin d'exécuter un binaire ou un script à chaque ouverture de session.
- malware№ 949
Rootkit
Logiciel malveillant furtif qui octroie et masque un accès privilégié au système d'exploitation ou au matériel, en échappant aux outils de détection courants.