Закрепление через launchd
Что такое Закрепление через launchd?
Закрепление через launchdТехника закрепления в macOS, размещающая plist LaunchDaemon или LaunchAgent, чтобы launchd запускал код злоумышленника при загрузке, входе или триггере.
Закрепление через launchd (MITRE ATT&CK T1543.004) использует init-систему launchd в macOS. Злоумышленники размещают plist в /Library/LaunchDaemons (загрузка, контекст root), /Library/LaunchAgents (все пользователи при входе) или ~/Library/LaunchAgents (текущий пользователь). plist задаёт Label, ProgramArguments и триггеры RunAtLoad, KeepAlive, StartInterval, WatchPaths или StartCalendarInterval. launchd поддерживает процесс и перезапускает его при завершении. Метод популярен у вредоносного ПО macOS, включая OSX/Shlayer и XCSSET. Защита: мониторинг каталогов LaunchDaemon/Agent через EDR или fs_usage, базовая инвентаризация plist, оповещения о неподписанных исполняемых файлах, а также ограничение записи через TCC, SIP и профили MDM.
● Примеры
- 01
Размещение com.apple.softwareupdated.plist в /Library/LaunchDaemons, запускающего /tmp/updater при загрузке.
- 02
Пользовательский LaunchAgent, повторно запускающий Python-имплант при каждом входе через RunAtLoad.
● Частые вопросы
Что такое Закрепление через launchd?
Техника закрепления в macOS, размещающая plist LaunchDaemon или LaunchAgent, чтобы launchd запускал код злоумышленника при загрузке, входе или триггере. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Закрепление через launchd?
Техника закрепления в macOS, размещающая plist LaunchDaemon или LaunchAgent, чтобы launchd запускал код злоумышленника при загрузке, входе или триггере.
Как работает Закрепление через launchd?
Закрепление через launchd (MITRE ATT&CK T1543.004) использует init-систему launchd в macOS. Злоумышленники размещают plist в /Library/LaunchDaemons (загрузка, контекст root), /Library/LaunchAgents (все пользователи при входе) или ~/Library/LaunchAgents (текущий пользователь). plist задаёт Label, ProgramArguments и триггеры RunAtLoad, KeepAlive, StartInterval, WatchPaths или StartCalendarInterval. launchd поддерживает процесс и перезапускает его при завершении. Метод популярен у вредоносного ПО macOS, включая OSX/Shlayer и XCSSET. Защита: мониторинг каталогов LaunchDaemon/Agent через EDR или fs_usage, базовая инвентаризация plist, оповещения о неподписанных исполняемых файлах, а также ограничение записи через TCC, SIP и профили MDM.
Как защититься от Закрепление через launchd?
Защита от Закрепление через launchd обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Закрепление через launchd?
Распространённые альтернативные названия: Закрепление через LaunchDaemon, Закрепление через LaunchAgent.
● Связанные термины
- attacks№ 238
Закрепление через cron
Техника закрепления в Linux/Unix, использующая cron, anacron или таймеры systemd для повторного запуска кода злоумышленника по расписанию или системному событию.
- attacks№ 610
Перехват через LD_PRELOAD
Техника закрепления и подмены библиотек в Linux, использующая переменную LD_PRELOAD или /etc/ld.so.preload для внедрения кода в процессы с динамической компоновкой.
- attacks№ 975
Закрепление через запланированные задания
Техника закрепления и исполнения, при которой злоумышленник создаёт или изменяет запланированное задание Windows для запуска пейлоада по триггеру (вход, загрузка, таймер).
- attacks№ 1246
Закрепление через подписку WMI
Техника закрепления, регистрирующая постоянный WMI-фильтр и потребитель события, чтобы код злоумышленника запускался при выбранном системном событии.
- attacks№ 914
Закрепление через раздел Run реестра
Классическая техника закрепления в Windows, добавляющая запись в раздел реестра Run или RunOnce для запуска бинарника или скрипта при каждом входе пользователя.
- malware№ 949
Руткит
Скрытное вредоносное ПО, обеспечивающее и маскирующее привилегированный доступ к ОС или устройству, обходя стандартные средства обнаружения.