译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1165
术语表: /attack/glossary
根据Apple的文档,启动项在启动过程的最后阶段执行,并且包含shell脚本或其他可执行文件以及系统用来确定所有启动项[1]的执行顺序的配置信息。从技术上讲,这是一个不推荐使用的版本(由Launch Daemons取代),因此/Library/StartupItems
默认情况下不能保证相应的文件夹存在于系统上,但默认情况下似乎确实存在于macOS Sierra上。启动项是一个目录,其可执行文件和配置属性列表(plist)StartupParameters.plist
位于顶层目录中。
对手可以在StartupItems目录中创建适当的文件夹/文件,以注册其自己的持久性机制。此外,由于StartupItems在macOS的启动阶段运行,因此它们将作为root运行。如果对手能够修改现有的启动项,那么他们也将能够升级特权。
ID编号: T1165
策略: 持久性,提权
平台: macOS
所需权限: 管理员
有效权限: root
数据源: 文件监视,过程监视
名称 | 描述 |
---|---|
jRAT (S0283) | jRAT (S0283)可以列出和管理启动项。 |
Name | Description |
---|---|
jRAT (S0283) | jRAT (S0283) can list and manage startup entries. |
减轻 | 描述 |
---|---|
限制文件和目录权限 (M1022) | 由于不赞成使用StartupItems,因此阻止所有用户写入/Library/StartupItems 目录将阻止注册任何启动项。 |
用户帐号管理 (M1018) | 应该应用适当的权限,以便只有特定的用户才能编辑启动项,以便可以利用它们进行特权升级。 |
Mitigation | Description |
---|---|
Restrict File and Directory Permissions (M1022) | Since StartupItems are deprecated, preventing all users from writing to the /Library/StartupItems directory would prevent any startup items from getting registered. |
User Account Management (M1018) | Appropriate permissions should be applied such that only specific users can edit the startup items so that they can be leveraged for privilege escalation. |
该/Library/StartupItems
文件夹可以监测其变化。同样,应根据白名单检查从此机制实际执行的程序。监视在启动过程中执行的进程,以检查异常或未知的应用程序和行为。
The /Library/StartupItems
folder can be monitored for changes. Similarly, the programs that are actually executed from this mechanism should be checked against a whitelist. Monitor processes that are executed during the bootup process to check for unusual or unknown applications and behavior.