Persistência via launchd
O que é Persistência via launchd?
Persistência via launchdTécnica de persistência no macOS que instala um plist de LaunchDaemon ou LaunchAgent para que o launchd execute código do atacante no arranque, no login ou num gatilho.
A persistência via launchd (MITRE ATT&CK T1543.004) abusa do sistema de inicialização launchd do macOS. Os atacantes colocam um plist em /Library/LaunchDaemons (arranque, contexto root), /Library/LaunchAgents (todos os utilizadores no login) ou ~/Library/LaunchAgents (utilizador atual). O plist define Label, ProgramArguments e gatilhos como RunAtLoad, KeepAlive, StartInterval, WatchPaths ou StartCalendarInterval. O launchd mantém o processo vivo e reinicia-o se terminar. Malware macOS como OSX/Shlayer e XCSSET usa esta técnica. Defesas: monitorizar os diretórios LaunchDaemon/Agent com EDR ou fs_usage, baseline de plists, alertas sobre executáveis não assinados e usar TCC, SIP e perfis MDM para restringir a escrita.
● Exemplos
- 01
Colocar com.apple.softwareupdated.plist em /Library/LaunchDaemons que arranca /tmp/updater no boot.
- 02
LaunchAgent por utilizador que reexecuta um implante Python a cada login via RunAtLoad.
● Perguntas frequentes
O que é Persistência via launchd?
Técnica de persistência no macOS que instala um plist de LaunchDaemon ou LaunchAgent para que o launchd execute código do atacante no arranque, no login ou num gatilho. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Persistência via launchd?
Técnica de persistência no macOS que instala um plist de LaunchDaemon ou LaunchAgent para que o launchd execute código do atacante no arranque, no login ou num gatilho.
Como se defender contra Persistência via launchd?
As defesas contra Persistência via launchd costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Persistência via launchd?
Nomes alternativos comuns: Persistência LaunchDaemon, Persistência LaunchAgent.