det0401-detection-strategy-for-launch-daemon-creation-or-modification-macos

# DET0401 — Detection Strategy for Launch Daemon Creation or Modification (macOS) ## Descrição No macOS, Launch Daemons são serviços do sistema executados pelo `launchd` com privilégios de root, carregados a partir de arquivos `.plist` em `/Library/LaunchDaemons/`. Adversários criam ou modificam esses arquivos para garantir persistência com elevação de privilégio, pois os daemons são iniciados automaticamente no boot do sistema, independentemente de login do usuário. A detecção deve monitorar eventos de criação, modificação e carregamento de arquivos `.plist` nos diretórios de LaunchDaemons. Ferramentas de EDR em macOS — como o endpoint security framework nativo da Apple — capturam eventos de escrita nesses diretórios. O conteúdo dos arquivos `.plist` deve ser inspecionado: chaves como `ProgramArguments` apontando para binários em locais incomuns (`/tmp/`, `/var/folders/`, diretórios home de usuários) são altamente suspeitas. Malwares macOS como [[osx-lazarus]], [[finspy-macos]] e amostras de [[g0007-apt28]] têm utilizado Launch Daemons como mecanismo primário de persistência. A criação desses arquivos por processos que não sejam instaladores legítimos (com assinatura Apple ou MAS) é um forte indicador de comprometimento. ## Indicadores de Detecção - Criação de arquivos `.plist` em `/Library/LaunchDaemons/` por processos não assinados pela Apple - `ProgramArguments` em plists apontando para caminhos em `/tmp/`, `/var/` ou diretórios de usuário - Uso de `launchctl load` ou `launchctl bootstrap` por processos não administrativos - Daemons com `RunAtLoad: true` e `KeepAlive: true` recém-criados sem correspondente instalação de software - Modificação de plists existentes de daemons do sistema por processos não-root ## Técnicas Relacionadas - [[T1543004-launch-daemon|T1543.004 — Launch Daemon]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1106-native-api|T1106 — Native API]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an1126-analytic-1126|AN1126 — Analytic 1126]] --- *Fonte: [MITRE ATT&CK — DET0401](https://attack.mitre.org/detectionstrategies/DET0401)*