ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1165

术语表: /attack/glossary

启动项目

根据Apple的文档,启动项在启动过程的最后阶段执行,并且包含shell脚本或其他可执行文件以及系统用来确定所有启动项[1]的执行顺序的配置信息。从技术上讲,这是一个不推荐使用的版本(由Launch Daemons取代),因此/Library/StartupItems默认情况下不能保证相应的文件夹存在于系统上,但默认情况下似乎确实存在于macOS Sierra上。启动项是一个目录,其可执行文件和配置属性列表(plist)StartupParameters.plist位于顶层目录中。

对手可以在StartupItems目录中创建适当的文件夹/文件,以注册其自己的持久性机制。此外,由于StartupItems在macOS的启动阶段运行,因此它们将作为root运行。如果对手能够修改现有的启动项,那么他们也将能够升级特权。

标签

ID编号: T1165

策略: 持久性,提权

平台: macOS

所需权限: 管理员

有效权限: root

数据源: 文件监视,过程监视

程序示例

名称 描述
jRAT (S0283) jRAT (S0283)可以列出和管理启动项。
Name Description
jRAT (S0283) jRAT (S0283) can list and manage startup entries.

缓解措施

减轻 描述
限制文件和目录权限 (M1022) 由于不赞成使用StartupItems,因此阻止所有用户写入/Library/StartupItems目录将阻止注册任何启动项。
用户帐号管理 (M1018) 应该应用适当的权限,以便只有特定的用户才能编辑启动项,以便可以利用它们进行特权升级。
Mitigation Description
Restrict File and Directory Permissions (M1022) Since StartupItems are deprecated, preventing all users from writing to the /Library/StartupItems directory would prevent any startup items from getting registered.
User Account Management (M1018) Appropriate permissions should be applied such that only specific users can edit the startup items so that they can be leveraged for privilege escalation.

检测

/Library/StartupItems文件夹可以监测其变化。同样,应根据白名单检查从此机制实际执行的程序。监视在启动过程中执行的进程,以检查异常或未知的应用程序和行为。

The /Library/StartupItems folder can be monitored for changes. Similarly, the programs that are actually executed from this mechanism should be checked against a whitelist. Monitor processes that are executed during the bootup process to check for unusual or unknown applications and behavior.