MITRE ATT&CK - Техника Перезапуск приложений

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Boot or Logon Autostart Execution: Перезапуск приложений

Other sub-techniques of Boot or Logon Autostart Execution (15)

ID	Название
.001	Ключи запуска в реестре / Папка автозагрузки
.002	Пакет аутентификации
.003	Поставщики времени
.004	DLL-библиотеки загружаемые с помощью Winlogon
.005	Поставщик поддержки безопасности (SSP)
.006	Модули и расширения ядра
.007	Перезапуск приложений
.008	Драйвер LSASS
.009	Изменение ярлыков
.010	Мониторы портов
.011	Plist Modification
.012	Обработчики печати
.013	Записи автозапуска XDG
.014	Активная установка
.015	Элементы входа в систему

Adversaries may modify plist files to automatically run an application when a user logs in. When a user logs out or restarts via the macOS Graphical User Interface (GUI), a prompt is provided to the user with a checkbox to "Reopen windows when logging back in".(Citation: Re-Open windows on Mac) When selected, all applications currently open are added to a property list file named com.apple.loginwindow.[UUID].plist within the ~/Library/Preferences/ByHost directory.(Citation: Methods of Mac Malware Persistence)(Citation: Wardle Persistence Chapter) Applications listed in this file are automatically reopened upon the user’s next logon. Adversaries can establish Persistence by adding a malicious application path to the com.apple.loginwindow.[UUID].plist file to execute payloads when a user logs in.

ID: T1547.007

Относится к технике: T1547

Тактика(-и): Persistence, Privilege Escalation

Платформы: macOS

Требуемые разрешения: User

Источники данных: Command: Command Execution, File: File Modification

Версия: 1.1

Дата создания: 24 Jan 2020

Последнее изменение: 19 Apr 2022

Контрмера	Описание
Контрмеры
Disable or Remove Feature or Program	Remove or deny access to unnecessary and potentially vulnerable software to prevent abuse by adversaries.
User Training	Train users to be aware of access or manipulation attempts by an adversary to reduce the risk of successful spearphishing, social engineering, and other techniques that involve user interaction.

Обнаружение

Monitoring the specific plist files associated with reopening applications can indicate when an application has registered itself to be reopened.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.