det0534-tcc-database-manipulation-via-launchctl-and-unprotected-sip

# DET0534 — TCC Database Manipulation via Launchctl and Unprotected SIP ## Descrição O banco de dados TCC (Transparency, Consent, and Control) do macOS controla permissões de acesso a recursos sensíveis como câmera, microfone, localização, contatos e arquivos protegidos. Adversários que obtêm acesso root em sistemas macOS com SIP (System Integrity Protection) desabilitado podem manipular diretamente o banco de dados SQLite em `/Library/Application Support/com.apple.TCC/TCC.db` para conceder permissões a aplicações maliciosas sem interação do usuário. Esta técnica ([[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]]) é frequentemente explorada por malwares macOS para acesso ao microfone e câmera para espionagem ou ransomware para acesso a documentos protegidos. O uso de `launchctl` para carregar Launch Daemons ou Agents com permissões TCC especiais, combinado com a desativação do SIP ou exploração de falhas de bypass do TCC, forma o vetor de ataque. Ferramentas de ataque macOS como `XCSSET` e campanhas do [[g0032-lazarus-group|Lazarus Group]] contra usuários macOS demonstraram a exploração ativa de vulnerabilidades TCC. A detecção é desafiadora porque requer monitoramento de chamadas de sistema em nível de kernel — o subsistema TCC não emite eventos auditáveis por padrão via logs de aplicação. A estratégia de detecção foca em três pontos: (1) monitoramento de acesso ao arquivo `TCC.db` por processos que não sejam o TCC daemon do sistema, (2) execução de `launchctl` com flags de bypass de segurança ou carregamento de plists em locais protegidos, e (3) uso de `csrutil status` ou tentativas de desabilitar SIP (requer reinicialização em Recovery Mode, detectável em logs de boot). A integração com EDR de macOS (CrowdStrike, SentinelOne) com telemetria de kernel é fundamental. ## Indicadores de Detecção - Acesso ao arquivo `/Library/Application Support/com.apple.TCC/TCC.db` por processo que não sejá `tccd` ou agentes de MDM legítimos - Operações SQLite (`INSERT`, `UPDATE`) no banco TCC por processo não-autorizado - Execução de `launchctl bootstrap` ou `launchctl load` com plists em caminhos não-padrão por processo de usuário - `csrutil status` mostrando SIP desabilitado em endpoint corporativo sem justificativa de MDM - Tentativa de escrita em `/System/Library/` ou `/usr/` (protegidos por SIP) indicando SIP desabilitado - Carregamento de Launch Daemon por processo de usuário sem aprovação via MDM (detectável via osquery ou endpoint agent) ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] — técnica principal coberta por esta estratégia - [[t1562-impair-defenses|T1562 — Impair Defenses]] — desabilitação de SIP como pré-requisito para manipulação TCC - [[t1543-003-windows-service|T1543 — Create or Modify System Process]] — criação de Launch Daemons maliciosos - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] — Launch Agents como mecanismo de persistência - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] — acesso ao Keychain após bypass TCC ## Analytics Relacionadas - [[an1474-analytic-1474|AN1474 — Analytic 1474]] --- *Fonte: [MITRE ATT&CK — DET0534](https://attack.mitre.org/detectionstrategies/DET0534)*