AppleScript

Злоумышленники могут злоупотреблять AppleScript для выполнения. AppleScript — это язык сценариев macOS, предназначенный для управления приложениями и частями операционной системы через межприложенческие сообщения, называемые AppleEvents. Эти сообщения AppleEvent могут отправляться независимо или легко сценарироваться с помощью AppleScript. Эти события могут находить открытые окна, отправлять нажатия клавиш и взаимодействовать практически с любым открытым приложением локально или удаленно. Скрипты могут быть запущены из командной строки через osascript /path/to/script или osascript -e "script here". Помимо командной строки, скрипты могут выполняться множеством способов, включая правила Mail, напоминания Calendar.app и рабочие процессы Automator. AppleScripts также могут выполняться как обычные текстовые скрипты оболочки, добавив #!/usr/bin/osascript в начало файла скрипта. AppleScripts не нуждаются в вызове osascript для выполнения. Однако они могут быть выполнены из бинарных файлов mach-O с использованием macOS Native API NSAppleScript или OSAScript, оба из которых выполняют код независимо от утилиты командной строки /usr/bin/osascript. Злоумышленники могут злоупотреблять AppleScript для выполнения различного поведения, такого как взаимодействие с открытым SSH-соединением, переход на удаленные машины и даже представление пользователям поддельных диалоговых окон. Эти события не могут запускать приложения удаленно (они могут запускать их локально), но они могут взаимодействовать с приложениями, если они уже запущены удаленно. В macOS 10.10 Yosemite и выше AppleScript имеет возможность выполнять Native API, которые в противном случае требовали бы компиляции и выполнения в формате бинарного файла mach-O. Поскольку это язык сценариев, он может использоваться для запуска более распространенных техник, таких как обратная оболочка через Python.