ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]
译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1164
术语表: /attack/glossary
重启应用程序
从 Mac OS X 10.7 (Lion) 开始,用户可以指定在重启机器时要重新打开的应用程序。
虽然这通常是通过基于每个应用程序的图形用户界面(GUI)完成的,但是属性列表文件 (plist) 也包含这些信息,它们位于~/Library/Preferences/com.apple.loginwindow.plist 和~/Library/Preferences/ByHost/com.apple.loginwindow.*.plist。
攻击者可以直接修改其中一个文件,使其包含指向恶意可执行文件的链接,以便在用户每次重启机器 时提供持久化机制。
缓解
在登录时按住 Shift 键可以防止自动打开应用程序 。
可以使用以下终端命令完全禁用这个功能:defaults write -g ApplePersistence -bool no.
检测
监视与重启应用程序相关联的特定 plist 文件可以表明应用程序何时已注册其自身以重新打开。