1. <i id="8kl0q"></i>

    ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

    譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

    數據來源:ATT&CK Matrices

    原文: https://attack.mitre.org/techniques/T1160

    術語表: /attack/glossary

    啟動守護程序

    根據Apple的開發人員文檔,當啟動macOS和OS X時,將運行啟動來完成系統初始化。此過程從/System/Library/LaunchDaemons/Library/LaunchDaemons 中找到的屬性列表(plist)文件中為每個按需啟動的系統級守護程序加載參數。這些LaunchDaemons具有屬性列表文件,這些文件指向將要啟動的可執行文件。

    對手可能會安裝新的啟動守護程序,該啟動守護程序可以配置為在啟動時執行,方法是使用launchd或launchctl將plist加載到適當的目錄中??梢酝ㄟ^使用相關操作系統或良性軟件名稱來偽裝守護程序名稱 。啟動守護程序可以使用管理員特權創建,但是在root特權下執行,因此攻擊者還可以使用服務將特權從管理員升級到root。

    plist文件的權限必須是root:wheel,但是它指向的腳本或程序沒有這樣的要求。因此,不良的配置可能允許對手修改當前的啟動守護程序的可執行文件并獲得持久性或特權升級。

    Per Apple’s developer documentation, when macOS and OS X boot up, launchd is run to finish system initialization. This process loads the parameters for each launch-on-demand system-level daemon from the property list (plist) files found in /System/Library/LaunchDaemons and /Library/LaunchDaemons. These LaunchDaemons have property list files which point to the executables that will be launched.

    Adversaries may install a new launch daemon that can be configured to execute at startup by using launchd or launchctl to load a plist into the appropriate directories . The daemon name may be disguised by using a name from a related operating system or benign software . Launch Daemons may be created with administrator privileges, but are executed under root privileges, so an adversary may also use a service to escalate privileges from administrator to root.

    The plist file permissions must be root:wheel, but the script or program that it points to has no such requirement. So, it is possible for poor configurations to allow an adversary to modify a current Launch Daemon’s executable and gain persistence or Privilege Escalation.

    標簽

    ID編號: T1160

    策略: 持久性,特權升級

    平臺: macOS

    所需權限: 管理員

    有效權限: root

    數據源: 過程監控,文件監控

    程序示例

    名稱 描述
    OSX_OCEANLOTUS.D (S0352) OSX_OCEANLOTUS.D 可以在文件夾中創建一個持久性文件/Library/LaunchDaemons。
    Name Description
    OSX_OCEANLOTUS.D (S0352) OSX_OCEANLOTUS.D can create a persistence file in the folder /Library/LaunchDaemons.

    緩解措施

    緩解 描述
    用戶帳號管理 ( M1018) 限制用戶帳戶的特權并補救特權升級向量,以便只有授權的管理員才能創建新的啟動守護程序。
    Mitigation Description
    User Account Management (M1018) Limit privileges of user accounts and remediate Privilege Escalation vectors so only authorized administrators can create new Launch Daemons.

    檢測

    通過其他plist文件和實用程序(例如Objective-See的Knock Knock應用程序)監視啟動進程守護的創建。

    Monitor Launch Daemon creation through additional plist files and utilities such as Objective-See's Knock Knock application.

    免费任你躁国语自产在线播放,午夜嘿嘿嘿在线观看,国语自产精品视频在线,女人本色完整版高清,大人片视频免费,国产综合有码无码中文字幕,日日摸日日碰夜夜爽无码 2020自拍偷区亚洲综合第一页,欧美色欧美亚洲日韩在线播放,偷拍中国熟妇牲交,久久99久久99久久综合,男女配种超爽免费视频,少妇被黑人4P到惨叫,国产成人午夜精品影院 我不卡影院免费观看,手机在线不卡一区二区,在线不卡日本v二区三区18,一日本道在线不卡视频,我不卡手机在线观看,国产欧美亚洲综合第一页,欧美顶级情欲片 午夜无码片在线观看影视,在线观看免费无码专区,成年肉动漫在线观看无码,99久久无色码中文字幕,久久SE精品一区二区,午夜无码片在线观看影视 偷柏自拍亚洲不卡综合在线,国产亚洲Av黄在线,久久精品五福影院,人人爽人人爽人人爽,99国产免费和视频,中文字幕无码日韩Av,中国美女牲交视频,国产女人牲交免费视频 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 亚洲中文字幕系列第1页_欧美a级片_男女激烈性高爱潮视频,欧美激情第一欧美精品,最新国产AⅤ精品无码,亚洲 欧美 国产综合aⅴ,视频一区 二区 三区,台湾自拍偷区亚洲综合
    亚洲人成观看视频在线观看,亚洲人成网站视频,亚洲人成AV免费,强乱中文字幕在线播放不卡,强伦姧中文字幕在线观看,国产v片在线播放免费,亚洲一日韩欧美中文字幕在线 青青草伊人,洛洛色中文网最新版,五月丁香综合,亚洲另类色区欧美日韩,日本中文字幕有码在线视频,最新亚洲中文字幕一区在线,中国熟妇牲交视频,性欧美牲交在线视频 又色又黄18禁免费的网站,国产亚洲日韩在线播放不卡,亚洲欧美中文日韩在线V日本,成·人免费午夜无码视频,欧美毛片性情免费播放,免费欧洲美女牲交视频,国产美女牲交视频 少妇的丰满2中文字幕,色八区人妻在线视频,香港日本韩国免费三级,免费视频在线观看网站,免费高清视频,香港三香港日本三级在线播放,洛洛色中文网最新版 老司机午夜神器_两性色午夜视频_午夜男人免费福利视频,男人吃奶视频.男人女人强吻下面视频.无码av手机免费不卡在线观看.在线日本v二区不卡,一本到高清视频不卡dvd 成年av动漫网站18禁无码,亚洲AⅤ视频动漫在线,亚洲成年AV天堂动漫网站最新电影,在线视频免费播放动漫H片在线播放免费,国产 欧美 日产_国产欧美国日产_日产a在线播放 性抽插gif动态图,俺去啦_俺来也,女人张开腿让男人桶肌肌,床震未满十八禁止观看男女男,欧美Z0ZO人禽交免费观看,日本高清AV免费乱码专区,欧洲美女粗暴牲交 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 免费网站看v片在线无遮挡,男女啪啪免费观看网站,大香大香伊人在钱线久久,日韩精品中文字幕高清在线,亚洲 国产 日韩 在线 一区,性欧美BBW性A片,黑粗硬大欧美在线视频 亚洲一日韩欧美中文字幕在线,大色堂撸撸看,欧美在线超清中文乱码一区,欧美肥老太交性视频,2020国产在视频线自在拍,日本牲交大片免费观看,日日摸夜夜添夜夜