Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Техника Сценарий входа в систему (Mac)
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
EN
Риски
Каталоги
MITRE ATT&CK
Техника
Сценарий входа в систему (Mac)
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Boot or Logon Initialization Scripts:  Сценарий входа в систему (Mac)

ID Название
.001 Сценарий входа в систему (Windows)
.002 Сценарий входа в систему (Mac)
.003 Сценарий входа в сеть
.004 Скрипты RC
.005 Элементы автозагрузки

Adversaries may use a Login Hook to establish persistence executed upon user logon. A login hook is a plist file that points to a specific script to execute with root privileges upon user logon. The plist file is located in the /Library/Preferences/com.apple.loginwindow.plist file and can be modified using the defaults command-line utility. This behavior is the same for logout hooks where a script can be executed upon user logout. All hooks require administrator permissions to modify or create hooks.(Citation: Login Scripts Apple Dev)(Citation: LoginWindowScripts Apple Dev) Adversaries can add or insert a path to a malicious script in the com.apple.loginwindow.plist file, using the LoginHook or LogoutHook key-value pair. The malicious script is executed upon the next user login. If a login hook already exists, adversaries can add additional commands to an existing login hook. There can be only one login and logout hook on a system at a time.(Citation: S1 macOs Persistence)(Citation: Wardle Persistence Chapter) **Note:** Login hooks were deprecated in 10.11 version of macOS in favor of Launch Daemon and Launch Agent

ID: T1037.002
Относится к технике:  T1037
Тактика(-и): Persistence, Privilege Escalation
Платформы: macOS
Источники данных: Command: Command Execution, File: File Creation, File: File Modification, Process: Process Creation
Версия: 2.0
Дата создания: 10 Jan 2020
Последнее изменение: 20 Apr 2022

Контрмеры
Контрмера Описание
Restrict File and Directory Permissions

Restrict access by setting directory and file permissions that are not specific to users or privileged accounts.

Обнаружение

Monitor logon scripts for unusual access by abnormal users or at abnormal times. Look for files added or modified by unusual accounts outside of normal administration duties. Monitor running process for actions that could be indicative of abnormal programs or executables running upon logon.

Ссылки

  1. Stokes, P. (2019, July 17). How Malware Persists on macOS. Retrieved March 27, 2020.
  2. Patrick Wardle. (n.d.). Chapter 0x2: Persistence. Retrieved April 13, 2022.
  3. Apple. (n.d.). LoginWindowScripts. Retrieved April 1, 2022.
  4. Apple. (2016, September 13). Customizing Login and Logout. Retrieved April 1, 2022.
Навигация

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.