V
Сканер-ВСкаталог уязвимостей · v4.2
ENRU
T1547.015EnterpriseПодтехника
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Элементы входа

Злоумышленники могут добавлять элементы входа для выполнения при входе пользователя в систему для получения закрепления или повышения привилегий. Элементы входа — это приложения, документы, папки или подключения к серверу, которые автоматически запускаются при входе пользователя в систему. Элементы входа могут быть добавлены через общий список файлов или платформу управления службами. Элементы входа общего списка файлов могут быть установлены с использованием языков сценариев, таких как AppleScript, в то время как платформа управления службами использует вызов API SMLoginItemSetEnabled. Элементы входа, установленные с использованием платформы управления службами, используют launchd, не видны в системных настройках и могут быть удалены только приложением, которое их создало. Элементы входа, созданные с использованием общего списка файлов, видны в системных настройках, могут скрывать приложение при запуске и выполняются через LaunchServices, а не launchd, для открытия приложений, документов или URL без использования Finder. Пользователи и приложения используют элементы входа для настройки своей пользовательской среды для запуска часто используемых служб или приложений, таких как приложения электронной почты, чата и музыки. Злоумышленники могут использовать AppleScript и вызовы нативного API для создания элемента входа для порождения вредоносных исполняемых файлов. До версии 10.5 в macOS злоумышленники могут добавлять элементы входа, используя AppleScript для отправки событий Apple процессу "System Events", который имеет словарь AppleScript для манипулирования элементами входа. Злоумышленники могут использовать такую команду, как tell application "System Events" to make login item at end with properties /path/to/executable. Эта команда добавляет путь вредоносного исполняемого файла в список файлов элементов входа, расположенный в ~/Library/Application Support/com.apple.backgroundtaskmanagementagent/backgrounditems.btm. Злоумышленники также могут использовать элементы входа для запуска исполняемых файлов, которые могут использоваться для удаленного управления системой жертвы или в качестве средства повышения привилегий путем запроса учетных данных пользователя.

Тактики

ЗакреплениеПовышение привилегий

Родительская техника

T1547
Автозапуск при загрузке или входе в систему

Платформы

macOS
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Затронутые уязвимости (выводимые)

Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.