译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1163
术语表: /attack/glossary
在启动过程中,macOS 执行 source /etc/rc.common
,该 shell 脚本包含了各种实用程序函数。
该文件还定义了用于处理命令行参数和收集系统设置的例程,因此建议在启动项脚本 的开头包含该文件。
在 macOS 和 OS X 中,它支持启动代理和启动守护进程,不推荐该技术但目前仍在使用。
攻击者可以利用 rc.common 文件来隐藏代码以实现持久化,在每次重新启动时,这些代码将以根用户的身份 执行。
限制用户帐户的权限,只有授权用户才能编辑 rc.common 文件。
可以监视 /etc/rc.common
文件以检测公司策略的更改。
监视 rc.common 脚本引发的进程执行, 以查找异常或未知的应用程序和行为。