启动代理

苹果的开发者文档，每个用户的桌面进程启动用户登录其负载从属性列表中的每个发射点播用户代理的参数中发现的（plist）文件/System/Library/LaunchAgents，/Library/LaunchAgents和$HOME/Library/LaunchAgents。这些启动代理具有指向将要启动的可执行文件的属性列表文件。

攻击者可能会安装新的启动代理，该启动代理可以配置为在登录时执行，方法是使用launchd或launchctl将plist加载到适当的目录中 。可以使用相关操作系统或良性软件中的名称来伪装代理名称。启动代理是使用用户级特权创建的，并在他们登录时以用户特权执行。可以将它们设置为在特定用户登录时（在特定用户的目录结构中）或任何用户登录时（需要管理员权限）执行。

标签

ID编号： T1159

策略： 持久性

平台： macOS

所需权限： user，管理员

数据源： 文件监视，过程监视

缓解措施

缓解	描述
用户帐号管理 (M1018)	限制用户使用组策略创建启动代理的能力。

检测

通过其他plist文件和实用程序（例如Objective-See的KnockKnock应用程序）监视Launch Agent的创建。启动代理还要求磁盘上的文件具有持久性，也可以通过其他文件监视应用程序对其进行监视。