Объекты входа в систему в macOS - это приложения, документы, папки или серверные соединения, которые автоматически запускаются при входе пользователя в учетную запись. Созданные для удобства, они позволяют сделать часто используемые программы и файлы легкодоступными при запуске сеанса. Пользователи управляют этими элементами через «Системные настройки», настраивая порядок запуска. Возможность автоматического выполнения программ делает эту функцию привлекательной для злоумышленников, стремящихся к постоянству или повышению привилегий.
Использование злоумышленниками объектов входа в систему
Злоумышленники используют элементы входа в систему macOS для автоматического запуска вредоносных программ при входе пользователя в систему с целью сохранения или повышения привилегий. Эти элементы входа, включая приложения, документы, папки или серверные соединения, добавляются с помощью скриптовых языков, таких как AppleScript. В частности, в macOS версий до 10.5 язык AppleScript используется для отправки событий Apple в процесс «Системные события», манипулируя элементами входа в систему в злонамеренных целях.
Кроме того, злоумышленники могут использовать вызовы Native API, используя Service Management Framework, который включает такие вызовы API, как SMLoginItemSetEnabled. Эта техника позволяет незаметно вставлять вредоносные программы в последовательность входа пользователя в систему. Используя как общие элементы входа в список файлов, так и Service Management Framework, злоумышленники эффективно поддерживают незаметное присутствие в системе.
Вот пример команды, которую могут использовать злоумышленники:
| 1 | tell application "System Events" to make login item at end with properties {path:"/path/to/malicious/executable", hidden:true}. |
После выполнения эта команда добавляет указанный путь в список приложений, которые автоматически запускаются при входе пользователя в систему, при этом свойство hidden:true гарантирует, что приложение будет запущено без отображения видимого интерфейса для пользователя. Этот скрытый метод позволяет вредоносному программному обеспечению выполняться незамеченным, сохраняясь в системе.
Подобные атаки сложно предотвратить с помощью превентивных мер контроля, поскольку они основаны на злоупотреблении легитимными функциями системы. Сценарий использует стандартные функции macOS, созданные для удобства пользователей, что затрудняет различие между добросовестным и вредоносным использованием, не влияя на нормальную работу системы.