MITRE ATT&CK - Техника Добавление LC_LOAD_DYLIB

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Event Triggered Execution: Добавление LC_LOAD_DYLIB

Other sub-techniques of Event Triggered Execution (16)

ID	Название
.001	Замена ПО по умолчанию для запуска файла
.002	Экранная заставка
.003	Подписка на события WMI
.004	.bash_profile и .bashrc
.005	Команда trap
.006	Добавление LC_LOAD_DYLIB
.007	DLL-библиотеки загружаемые с помощью Netsh
.008	Специальные возможности
.009	DLL-библиотеки AppCert
.010	DLL-библиотеки AppInit
.011	Оболочка совместимости приложений
.012	Изменение IFEO
.013	Профиль PowerShell
.014	Демон мониторинга событий emond
.015	Перехват COM-объектов
.016	Установщики

Adversaries may establish persistence by executing malicious content triggered by the execution of tainted binaries. Mach-O binaries have a series of headers that are used to perform certain operations when a binary is loaded. The LC_LOAD_DYLIB header in a Mach-O binary tells macOS and OS X which dynamic libraries (dylibs) to load during execution time. These can be added ad-hoc to the compiled binary as long as adjustments are made to the rest of the fields and dependencies.(Citation: Writing Bad Malware for OSX) There are tools available to perform these changes. Adversaries may modify Mach-O binary headers to load and execute malicious dylibs every time the binary is executed. Although any changes will invalidate digital signatures on binaries because the binary is being modified, this can be remediated by simply removing the LC_CODE_SIGNATURE command from the binary so that the signature isn’t checked at load time.(Citation: Malware Persistence on OS X)

ID: T1546.006

Относится к технике: T1546

Тактика(-и): Persistence, Privilege Escalation

Платформы: macOS

Требуемые разрешения: User

Источники данных: Command: Command Execution, File: File Metadata, File: File Modification, Module: Module Load, Process: Process Creation

Версия: 1.0

Дата создания: 24 Jan 2020

Последнее изменение: 20 Apr 2022

Контрмера	Описание
Контрмеры
Audit	Perform audits or scans of systems, permissions, insecure software, insecure configurations, etc. to identify potential weaknesses.
Execution Prevention	Block execution of code on a system through application control, and/or script blocking.
Code Signing	Enforce binary and application integrity with digital signature verification to prevent untrusted code from executing.

Обнаружение

Monitor processes for those that may be used to modify binary headers. Monitor file systems for changes to application binaries and invalid checksums/signatures. Changes to binaries that do not line up with application updates or patches are also extremely suspicious.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.