det0429-detect-modification-of-macos-startup-items

# DET0429 — Detect Modification of macOS Startup Items ## Descrição Startup Items são um mecanismo legado do macOS (introduzido no Mac OS X 10.2 e deprecado a partir do OS X 10.4, mas ainda funcional) que permite a execução de scripts e programas na inicialização do sistema. Diferentemente dos LaunchDaemons e LaunchAgents modernos, Startup Items residem em `/Library/StartupItems/` e `/System/Library/StartupItems/` e são processados pelo `SystemStarter` durante o boot. Adversários que buscam compatibilidade com versões antigas do macOS ou desejam passar despercebidos por soluções de segurança focadas em launchd podem escolher esse mecanismo. Além dos Startup Items legados, o macOS suporta Login Items (itens de login do usuário, configurados via Preferências do Sistema) que executam na abertura de sessão. Esses são mais utilizados por malware moderno macOS pois têm menor visibilidade em ferramentas de monitoramento. Aplicativos com `LSBackgroundOnly` e `LSUIElement` podem executar como processos de background invisíveis. A detecção envolve monitoramento de criação de diretórios ou arquivos em `/Library/StartupItems/`, acesso ao banco de dados de Login Items via APIs `SMLoginItemSetEnabled` ou `LaunchServices`, e monitoramento de mudanças nas preferências do usuário em `~/Library/Preferences/com.apple.loginitems.plist`. O Endpoint Security Framework do macOS e ferramentas como Santa (Google) fornecem visibilidade adequada. ## Indicadores de Detecção - Criação de diretórios ou scripts em `/Library/StartupItems/` por instaladores não assinados pela Apple - Modificação de `~/Library/Preferences/com.apple.loginitems.plist` por processo não usuário ou instalador legítimo - Adição de item ao banco de dados de Login Items via API `SMLoginItemSetEnabled` por aplicativo não catalogado - Binários em Startup Items sem assinatura de código válida ou com assinatura revogada - Script de StartupItem com chamadas a `curl`, `wget` ou execução de binários de caminhos temporários ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[T1543004-launch-daemon|T1543.004 — Launch Daemon]] - [[T1059002-applescript|T1059.002 — AppleScript]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] ## Analytics Relacionadas - [[an1197-analytic-1197|AN1197 — Analytic 1197]] --- *Fonte: [MITRE ATT&CK — DET0429](https://attack.mitre.org/detectionstrategies/DET0429)*