ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1163

术语表: /attack/glossary

Rc.common

在启动过程中,macOS 执行 source /etc/rc.common,该 shell 脚本包含了各种实用程序函数。 该文件还定义了用于处理命令行参数和收集系统设置的例程,因此建议在启动项脚本 的开头包含该文件。 在 macOS 和 OS X 中,它支持启动代理和启动守护进程,不推荐该技术但目前仍在使用。 攻击者可以利用 rc.common 文件来隐藏代码以实现持久化,在每次重新启动时,这些代码将以根用户的身份 执行。

缓解

限制用户帐户的权限,只有授权用户才能编辑 rc.common 文件。

检测

可以监视 /etc/rc.common 文件以检测公司策略的更改。 监视 rc.common 脚本引发的进程执行, 以查找异常或未知的应用程序和行为。