det0244-detection-strategy-for-login-hook-persistence-on-macos

# DET0244 — Detection Strategy for Login Hook Persistence on macOS ## Descrição Detecta o abuso de Login Hooks do macOS como mecanismo de persistência. Login Hooks são scripts executados como root no momento do login de qualquer usuário, configurados via `defaults write com.apple.loginwindow LoginHook`. Adversários utilizam esse mecanismo para garantir execução privilegiada persistente após reinicializações. Os indicadores incluem modificação da chave `LoginHook` ou `LogoutHook` em `com.apple.loginwindow`, criação ou modificação de scripts referênciados por esses hooks, e processos filho inesperados originados do contexto de login do sistema. Ferramentas como `launchd` e `loginwindow` devem ser monitoradas para invocação de comandos externos. A telemetria necessária abrange eventos de criação e modificação de arquivos em `/Library/Preferences/com.apple.loginwindow.plist`, audit logs do sistema macOS (OpenBSM/Unified Logging), e eventos de execução de processos originados por `loginwindow` ou `launchd` durante o ciclo de autenticação. ## Indicadores de Detecção - Escrita na chave `LoginHook` via `defaults write` ou modificação direta do plist - Criação de scripts sh/bash com permissões de execução em caminhos referênciados pelo hook - Processo filho de `loginwindow` executando shell script ou binário desconhecido - Presença de `LogoutHook` apontando para script em diretório não-padrão (`/tmp`, `/var`) - Modificação de `/Library/Preferences/com.apple.loginwindow.plist` fora de janela de deploy - Execução de comandos com UID 0 originados imediatamente após evento de login de usuário ## Técnicas Relacionadas - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0682-analytic-0682|AN0682 — Analytic 0682]] --- *Fonte: [MITRE ATT&CK — DET0244](https://attack.mitre.org/detectionstrategies/DET0244)*