det0121-detection-strategy-for-t1547015-login-items-on-macos

# DET0121 — Detection Strategy for T1547.015 — Login Items on macOS ## Descrição Esta estratégia detecta o abuso de Login Items no macOS como mecanismo de persistência. Login Items são aplicações ou scripts configurados para executar automaticamente quando o usuário faz login, gerenciados via `System Preferences > Users & Groups > Login Items` ou programaticamente via API `LSSharedFileListItemInsert` (API legada) e Service Management framework (`SMLoginItemSetEnabled`). Adversários adicionam aplicações maliciosas à lista de Login Items para garantir execução persistente. A partir do macOS 13 (Ventura), o sistema passou a notificar o usuário quando um novo Login Item é adicionado, tornando a detecção mais visível. Contudo, a API legada e bundles de aplicação com Login Items embutidos ainda podem ser utilizados com menor visibilidade. Os artefatos primários incluem: database `com.apple.loginitems.plist` em `~/Library/Application Support/com.apple.backgroundtaskmanagementagent/`, arquivos em `~/Library/LaunchAgents/` gerados por Login Items, e registros no Console do macOS para adição de itens. A telemetria de endpoint macOS via `eslogger` (Endpoint Security Framework), logs do Unified Logging System (`log show --predicaté 'subsystem == "com.apple.loginItems"'`) e monitoramento de FIM nas localizações relevantes permitem detecção. Malwares macOS como [[s0482-bundlore]], [[shlayer]] e [[osx-cimpli]] utilizam Login Items para persistência. A ausência de assinatura de código válida no item adicionado é um forte indicador de maliciosidade. ## Indicadores de Detecção - Modificação do database de Login Items (`com.apple.loginitems.plist`) por processo fora de `System Preferences` ou `Finder` - Novo Login Item adicionado via API `LSSharedFileListItemInsert` por aplicação não-AppStore ou não assinada - `SMLoginItemSetEnabled` chamado por aplicação com bundle ID não reconhecido ou path em `/tmp` ou `~/Downloads` - Login Item referênciando executável sem assinatura de código válida (`codesign -dv --verbose`) ou com assinatura revogada - Notificação de sistema "Background Login Item Added" para aplicação não reconhecida (macOS 13+) - Bundle de aplicação em `~/Library/Application Support/` com nome genérico e Login Item embutido (`LSUIElement=1`) ## Técnicas Relacionadas - [[t1547015-boot-or-logon-autostart-execution-login-items]] — Técnica principal - [[t1547-boot-or-logon-autostart-execution]] — Categoria pai - [[t1543001-launch-agent]] — LaunchAgent como mecanismo de persistência alternativo - [[t1647-plist-file-modification]] — Modificação de plist correlacionada - [[t1553001-subvert-trust-controls-gatekeeper-bypass]] — Bypass de Gatekeeper frequentemente combinado ## Analytics Relacionadas - [[an0340-analytic-0340|AN0340 — Analytic 0340]] --- *Fonte: [MITRE ATT&CK — DET0121](https://attack.mitre.org/detectionstrategies/DET0121)*