det0434-detection-of-launch-agent-creation-or-modification-on-macos

# DET0434 — Detection of Launch Agent Creation or Modification on macOS ## Descrição Launch Agents no macOS são serviços gerenciados pelo `launchd` que são iniciados no contexto do usuário logado, ao contrário dos Launch Daemons (que executam como root). Arquivos `.plist` de Launch Agents residem em `~/Library/LaunchAgents/` (por usuário), `/Library/LaunchAgents/` (global) e `/System/Library/LaunchAgents/` (sistema). São amplamente abusados por malware macOS como mecanismo de persistência, pois não requerem privilégios de root para os diretórios por-usuário. A criação de um Launch Agent por malware é um dos mecanismos de persistência mais comuns em macOS, utilizado por famílias como [[atomic-macos-stealer]], [[osx-bundlore]], [[pirrit]] e adware sofisticado. O plist é criado no diretório `~/Library/LaunchAgents/` com `RunAtLoad: true` e `KeepAlive: true`, garantindo execução automática em cada login do usuário. O binário referênciado frequentemente reside em `~/Library/Application Support/` ou em diretórios com nomes que imitam aplicativos legítimos. A detecção difere da estratégia para Launch Daemons (DET0401) pelo escopo de permissões: qualquer usuário pode criar plists em seu próprio diretório LaunchAgents, tornando o volume de eventos maior. O foco deve ser em plists referênciando binários em caminhos incomuns, sem assinatura de código válida, ou criados por processos que não sejam instaladores assinados. ## Indicadores de Detecção - Criação de arquivo `.plist` em `~/Library/LaunchAgents/` por processo que não sejá um instalador com assinatura válida - `ProgramArguments` em LaunchAgent plist apontando para binário em `~/Library/Application Support/` com nome aleatório - Uso de `launchctl load` ou `launchctl bootstrap user/$(id -u)` por scripts de shell ou processos de download - Launch Agent com `RunAtLoad: true` criado em diretório com nome que imita aplicativo legítimo (ex.: `com.apple.mdm.plist` falso) - Binário referênciado por LaunchAgent sem assinatura de código ou com assinatura ad-hoc ## Técnicas Relacionadas - [[T1543001-launch-agent|T1543.001 — Launch Agent]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[T1543004-launch-daemon|T1543.004 — Launch Daemon]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] ## Analytics Relacionadas - [[an1208-analytic-1208|AN1208 — Analytic 1208]] --- *Fonte: [MITRE ATT&CK — DET0434](https://attack.mitre.org/detectionstrategies/DET0434)*