ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1164

术语表: /attack/glossary

重启应用程序

从 Mac OS X 10.7 (Lion) 开始,用户可以指定在重启机器时要重新打开的应用程序。 虽然这通常是通过基于每个应用程序的图形用户界面(GUI)完成的,但是属性列表文件 (plist) 也包含这些信息,它们位于~/Library/Preferences/com.apple.loginwindow.plist~/Library/Preferences/ByHost/com.apple.loginwindow.*.plist。 攻击者可以直接修改其中一个文件,使其包含指向恶意可执行文件的链接,以便在用户每次重启机器 时提供持久化机制。

缓解

在登录时按住 Shift 键可以防止自动打开应用程序 。 可以使用以下终端命令完全禁用这个功能:defaults write -g ApplePersistence -bool no.

检测

监视与重启应用程序相关联的特定 plist 文件可以表明应用程序何时已注册其自身以重新打开。