<noframes id="vfxvr">

    <track id="vfxvr"></track>

      <span id="vfxvr"></span>

          ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

          譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

          數據來源:ATT&CK Matrices

          原文: https://attack.mitre.org/techniques/T1162

          術語表: /attack/glossary

          登錄項目

          MacOS提供了列出用戶登錄時要運行的特定應用程序的選項。這些應用程序在登錄用戶的上下文中運行,并且將在用戶每次登錄時啟動。使用“服務管理框架”安裝的登錄項在菜單中不可見。系統偏好設置,只能由創建它們的應用程序刪除[1]。用戶可以直接控制使用共享文件列表安裝的登錄項目,這些文件也可以在“系統偏好設置” 中看到。這些登錄項存儲在用戶~/Library/Preferences/目錄中的名為[2]的plist文件中。com.apple.loginitems.plist 。這些應用程序中的一些可以向用戶打開可見的對話框,但是由于可以“隱藏”窗口,因此不必全部打開。如果攻擊者可以注冊自己的登錄項或修改現有的登錄項,則每次用戶登錄時,他們都可以使用它來為持久性機制執行其代碼。API方法 SMLoginItemSetEnabled 可用于設置登錄項,但是腳本語言(如AppleScript)也可以做到這一點。

          MacOS provides the option to list specific applications to run when a user logs in. These applications run under the logged in user's context, and will be started every time the user logs in. Login items installed using the Service Management Framework are not visible in the System Preferences and can only be removed by the application that created them . Users have direct control over login items installed using a shared file list which are also visible in System Preferences. These login items are stored in the user's ~/Library/Preferences/ directory in a plist file called com.apple.loginitems.plist. Some of these applications can open visible dialogs to the user, but they don’t all have to since there is an option to ‘Hide’ the window. If an adversary can register their own login item or modified an existing one, then they can use it to execute their code for a persistence mechanism each time the user logs in . The API method SMLoginItemSetEnabled can be used to set Login Items, but scripting languages like AppleScript can do this as well .

          標簽

          ID編號: T1162

          策略: 持久性

          平臺: macOS

          所需權限: user

          數據源: 文件監視,API監視

          CAPEC ID: CAPEC-564

          程序示例

          名稱 描述
          Dok (S0281) Dok(S0281) 通過登錄項保留。
          Name Description
          Dok (S0281) Dok(S0281 ) persists via a login item.

          緩解措施

          緩解 描述
          用戶帳號管理 (M1018) 限制用戶無法創建自己的登錄項目。
          用戶培訓 (M1017) 登錄期間按住Shift鍵可防止應用自動打開。
          Mitigation Description
          User Account Management (M1018) Restrict users from being able to create their own login items.
          User Training (M1017) Holding the shift key during login prevents apps from opening automatically.

          檢測

          通過蘋果菜單->系統偏好設置->用戶和組->登錄項目,可以查看通過共享文件列表創建的所有登錄項目。對于已知的良好應用,應監視該區域(以及相應的文件位置)并將其列入白名單。否則,登錄項位于Contents/Library/LoginItems應用程序捆綁包內,因此也應監視這些路徑 [1]。監視由登錄操作導致的異?;蛭粗獞贸绦虻牧鞒虉绦?。

          All the login items created via shared file lists are viewable by going to the Apple menu -> System Preferences -> Users & Groups -> Login items. This area (and the corresponding file locations) should be monitored and whitelisted for known good applications. Otherwise, Login Items are located in Contents/Library/LoginItemswithin an application bundle, so these paths should be monitored as well [1]. Monitor process execution resulting from login actions for unusual or unknown applications.

          欧美日韩国产亚洲,天天射影院,大芭蕉天天视频在线观看,欧美肥老太牲交大片,奇米色888,黄三级高清在线播放,国产卡一卡二卡三卡四,亚洲第一黄色视频 日韩中文字幕中文有码,日本A级作爱片一,奇米第四,三级片短片视频免费在线观看,奇米网狠狠网,影音先锋色AV男人资源网,日本丰满熟妇hd 日本日韩中文字幕无区码,涩 色 爱 性,天天射影视,中文字幕制服丝袜第57页,777米奇影院奇米网狠狠,尤物TV国产精品看片在线,欧洲女同牲恋牲交视频 久久AV天堂日日综合,亚洲性爱影院色yeye,日韩亚洲欧美Av精品,十八禁全身裸露全彩漫画,奇米网影视,人人爽人人澡人人人妻,动漫AV专区,天天色综合影院 日韩精品中文字幕,特级无码毛片免费视频,人妻少妇不卡无码视频,制服丝袜有码中文字幕在线,深爱激动情网婷婷,影音先锋全部色先锋,香港三级日本三级韩级人妇 日韩欧美亚洲综合久久在线视频,2021XX性影院,玖玖资源站最稳定网址,日韩亚洲制服丝袜中文字幕,国产超碰人人模人人爽人人喊,先锋色熟女丝袜资源 很黄特别刺激又免费的视频,2021一本久道在线线观看,色中娱乐黄色大片,日本高清不卡在线观看播放,97国产自在现线免费视频,国产在线精品亚洲第一区 免费中文字幕精品一区二区 视频,狠狠爱俺也色,天天好逼网,日韩制服丝袜,国产女人大象蕉视频在线观看,国产 精品 自在 线免费,午夜时刻在线观看