ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1155

术语表: /attack/glossary

AppleScript

macOS 和 OS X 应用程序相互发送 AppleEvent 消息进行进程间通信 (IPC)。 可以使用 AppleScript 为本地或远程 IPC 轻松编写这些消息。 Osascript 执行 AppleScript 和任何其他开放式脚本编写体系结构 (OSA) 语言脚本。 可以使用 osalang 程序找到安装在系统上的 OSA 语言列表。AppleEvent 消息可以独立发送或作为脚本的一部分发送。 这些事件可以定位打开的窗口,发送击键,并与几乎任何本地或远程打开的应用程序交互。 攻击者可以使用它与打开的 SSH 连接进行交互,移动到远程机器,甚至向用户显示虚假的对话框。 这些事件无法远程启动应用程序(尽管它们可以在本地启动),但可以与远程已运行的程序交互。 由于这是一种脚本语言,因此也可以使用它来启动更常见的技术,比如通过 python 来启动一个反向 shell。 在命令行中通过 osascript /path/to/script 或 osascript -e“script here”运行脚本。

缓解

要求所有 AppleScript 在执行之前都要由受信任的开发人员 ID 签名——这将阻止随机的 AppleScript 代码执行 。 这使 AppleScript 代码与通过 Gatekeeper 的其他。app 文件一样受到严格审查。

检测

监视通过 osascript 执行 AppleScript 的情况,这可能与系统上发生的其他可疑行为有关。