det0265-detection-strategy-for-system-services-launchctl

# DET0265 — Detection Strategy for System Services: Launchctl ## Descrição Esta estratégia detecta o abuso do `launchctl` em macOS para carregar, gerenciar e persistir serviços maliciosos via LaunchDaemons e LaunchAgents. Adversários criam plists maliciosas em `/Library/LaunchDaemons/` (root-level) ou `~/Library/LaunchAgents/` (user-level) que instruem o sistema a executar payloads na inicialização ou login do usuário. O `launchctl load` é o vetor de persistência macOS mais comum, equivalente ao registro de serviços no Windows. Payloads típicos incluem backdoors, cryptominers e agentes de espionagem. A detecção foca na criação de novos arquivos plist em caminhos de LaunchAgent/Daemon, uso de `launchctl` por processos não-administrativos, e verificação de assinatura dos binários referênciados pelos plists. A telemetria requer monitoramento de escrita em `/Library/LaunchDaemons/`, `/Library/LaunchAgents/` e `~/Library/LaunchAgents/` via FSEvents ou auditd, logging de execução do `launchctl` com argumentos, e verificação de assinatura via Endpoint Security Framework (ESF). ## Indicadores de Detecção - Arquivo `.plist` criado em `/Library/LaunchDaemons/` por processo não pertencente a instalador assinado - `launchctl load` executado com path de plist em diretório de usuário ou temporário - Binary referênciado em plist sem assinatura Apple ou de desenvolvedor não reconhecido - LaunchAgent configurado com `RunAtLoad: true` e binário localizado em `~/Library/Application Support/` ou `/tmp` - `launchctl bootout` ou `launchctl unload` de serviço de segurança (ex: JAMF, SentinelOne) - Plist de LaunchDaemon criado com `KeepAlive: true` apontando para script shell ou binário unsigned ## Técnicas Relacionadas - [[T1543.004-launch-daemon|T1543.004 — Launch Daemon]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[T1037.002-logon-script-mac|T1037.002 — Logon Script (Mac)]] - [[T1547.011-plist-modification|T1547.011 — Plist Modification]] - [[T1562.001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] ## Analytics Relacionadas - [[an0736-analytic-0736|AN0736 — Analytic 0736]] --- *Fonte: [MITRE ATT&CK — DET0265](https://attack.mitre.org/detectionstrategies/DET0265)*