Persistência via launchd
O que é Persistência via launchd?
Persistência via launchdTécnica de persistência no macOS que instala um plist de LaunchDaemon ou LaunchAgent para que o launchd execute código do atacante no arranque, no login ou num gatilho.
A persistência via launchd (MITRE ATT&CK T1543.004) abusa do sistema de inicialização launchd do macOS. Os atacantes colocam um plist em /Library/LaunchDaemons (arranque, contexto root), /Library/LaunchAgents (todos os utilizadores no login) ou ~/Library/LaunchAgents (utilizador atual). O plist define Label, ProgramArguments e gatilhos como RunAtLoad, KeepAlive, StartInterval, WatchPaths ou StartCalendarInterval. O launchd mantém o processo vivo e reinicia-o se terminar. Malware macOS como OSX/Shlayer e XCSSET usa esta técnica. Defesas: monitorizar os diretórios LaunchDaemon/Agent com EDR ou fs_usage, baseline de plists, alertas sobre executáveis não assinados e usar TCC, SIP e perfis MDM para restringir a escrita.
● Exemplos
- 01
Colocar com.apple.softwareupdated.plist em /Library/LaunchDaemons que arranca /tmp/updater no boot.
- 02
LaunchAgent por utilizador que reexecuta um implante Python a cada login via RunAtLoad.
● Perguntas frequentes
O que é Persistência via launchd?
Técnica de persistência no macOS que instala um plist de LaunchDaemon ou LaunchAgent para que o launchd execute código do atacante no arranque, no login ou num gatilho. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Persistência via launchd?
Técnica de persistência no macOS que instala um plist de LaunchDaemon ou LaunchAgent para que o launchd execute código do atacante no arranque, no login ou num gatilho.
Como funciona Persistência via launchd?
A persistência via launchd (MITRE ATT&CK T1543.004) abusa do sistema de inicialização launchd do macOS. Os atacantes colocam um plist em /Library/LaunchDaemons (arranque, contexto root), /Library/LaunchAgents (todos os utilizadores no login) ou ~/Library/LaunchAgents (utilizador atual). O plist define Label, ProgramArguments e gatilhos como RunAtLoad, KeepAlive, StartInterval, WatchPaths ou StartCalendarInterval. O launchd mantém o processo vivo e reinicia-o se terminar. Malware macOS como OSX/Shlayer e XCSSET usa esta técnica. Defesas: monitorizar os diretórios LaunchDaemon/Agent com EDR ou fs_usage, baseline de plists, alertas sobre executáveis não assinados e usar TCC, SIP e perfis MDM para restringir a escrita.
Como se defender contra Persistência via launchd?
As defesas contra Persistência via launchd costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Persistência via launchd?
Nomes alternativos comuns: Persistência LaunchDaemon, Persistência LaunchAgent.
● Termos relacionados
- attacks№ 238
Persistência via cron
Técnica de persistência em Linux e Unix que utiliza cron, anacron ou temporizadores do systemd para reexecutar código do atacante num intervalo ou evento do sistema escolhido.
- attacks№ 610
Sequestro via LD_PRELOAD
Técnica Linux de persistência e sequestro de bibliotecas que usa a variável LD_PRELOAD ou /etc/ld.so.preload para injetar código do atacante em processos ligados dinamicamente.
- attacks№ 975
Persistência por tarefa agendada
Técnica de persistência e execução em que o atacante cria ou altera uma tarefa agendada do Windows para executar o seu payload com base num gatilho (logon, arranque, temporizador).
- attacks№ 1246
Persistência por subscrição de eventos WMI
Técnica de persistência que regista um filtro e um consumidor permanentes de eventos WMI para executar código do atacante quando ocorre um evento do sistema escolhido.
- attacks№ 914
Persistência por chave Run do registo
Técnica clássica de persistência do Windows que adiciona uma entrada numa chave Run ou RunOnce do registo para executar um binário ou script sempre que o utilizador inicia sessão.
- malware№ 949
Rootkit
Malware furtivo que concede e oculta acesso privilegiado a um sistema operativo ou dispositivo, escapando às ferramentas de deteção comuns.