ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1150

术语表: /attack/glossary

修改 Plist

属性列表 (plist) 文件包含 macOS 和 OS X 中应用程序和服务所有配置信息。 这些文件采用 UTF-8 编码并像 XML 文档一样通过一系列由<>包围的键来格式化。 它们详细说明了程序应该在何时执行、可执行文件的路径、程序参数、所需的操作系统权限以及许多其他内容。plists 位于特定的位置,这取决于它们的用途,例如 /Library/Preferences(使用高级特权执行)和~/Library/Preferences(使用用户的特权执行)。 攻击者可以修改这些 plist 文件以指向自己的代码,可以利用它们在另一个用户的上下文中执行自己的代码,可以绕过白名单,甚至可以利用它们实现持久化。

缓解

将 plist 文件设为只读,防止用户修改。

检测

监视文件系统可以确定 plist 文件是否正在被修改。 在大多数情况下,用户不应该拥有修改这些文件的权限。 某些软件工具,如“Knock Knock”,可以检测持久性机制并指向正在引用的特定文件。 这有助于查看实际执行的内容。 监控由于修改 plist 文件而导致的异常进程执行。 监视用于修改 plist 文件或以 plist 文件为参数的实用程序,这些实用程序可能表明可疑活动。