det0125-detect-persistence-via-reopened-application-plist-modification-macos

# DET0125 — Detect persistence via reopened application plist modification (macOS) ## Descrição Esta estratégia detecta persistência no macOS via modificação do arquivo `com.apple.loginwindow.plist`, que controla quais aplicações são reabertas automaticamente no próximo login. Adversários modificam essa lista para incluir processos maliciosos que serão executados silenciosamente a cada vez que o usuário fizer login, sem necessidade de privilégios de root. O arquivo reside em `~/Library/Preferences/ByHost/com.apple.loginwindow.<UUID>.plist` e é gerenciado pelo macOS Session Manager. A modificação por um processo que não sejá o sistema operacional ou aplicativos de usuário reconhecidos é o principal indicador de abuso. Ferramentas de acesso remoto (RATs) macOS como Atomic Stealer e XCSSET utilizam este mecanismo. A telemetria necessária inclui monitoramento de `FSEvents` para modificações no caminho `~/Library/Preferences/ByHost/`, logs de `OpenBSM` (auditd macOS), e telemetria de EDR para macOS como Jámf Protect ou CrowdStrike. Correlacionar com processos que acessam o plist fora do contexto de System Preferences amplifica a fidelidade. ## Indicadores de Detecção - Modificação de `com.apple.loginwindow.*.plist` por processo não relacionado a System Preferences - Novo item inserido na chave `TALAppsToReopen` contendo caminho para executável em `~/Library/` ou `/tmp/` - Processo em `~/Library/Application Support/` adicionado como reopened application - `plutil` ou `defaults write` modificando `loginwindow` plist por processo não-administrativo - Caminho de binário em `TALAppsToReopen` não correspondendo a bundle assinado pela Apple ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an0349-analytic-0349|AN0349 — Analytic 0349]] --- *Fonte: [MITRE ATT&CK — DET0125](https://attack.mitre.org/detectionstrategies/DET0125)*