Launch Agent Persistence: Create or Modify Launch Agents (T1543.001)

Per testare questa tecnica in laboratorio, inizia creando un semplice Launch Agent malevolo. Il primo passo consiste nel preparare un file plist che eseguirà il tuo payload.

Crea il file con questo contenuto base:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>Label</key>
    <string>com.apple.updates</string>
    <key>ProgramArguments</key>
    <array>
        <string>/Users/Shared/updates.sh</string>
    </array>
    <key>RunAtLoad</key>
    <true/>
    <key>KeepAlive</key>
    <true/>
</dict>
</plist>

Salva questo file come com.apple.updates.plist e posizionalo nella directory target con cp com.apple.updates.plist ~/Library/LaunchAgents/. Il naming è cruciale: usa nomi che sembrino legittimi come quelli utilizzati da Komplex che crea com.apple.updates.plist.

Per attivare immediatamente l'agent senza riavviare, usa launchctl load -w ~/Library/LaunchAgents/com.apple.updates.plist. Verifica lo stato con launchctl list | grep com.apple.

Tecniche più sofisticate prevedono l'uso di path randomizzati come fa Dok che genera nomi nel formato com.random.name.plist. CoinTicker invece utilizza .espl.plist nascondendo il file con il punto iniziale.

Per simulare comportamenti APT avanzati, implementa variazioni come quella di MacMa che include LimitLoadToSessionType con valore Aqua, garantendo l'esecuzione solo con GUI attiva. Oppure replica ThiefQuest che cripta il template plist prima di decifrarlo e installarlo.

Il monitoraggio efficace richiede visibilità su tre componenti chiave: creazione file plist, contenuto delle chiavi critiche ed esecuzione dei binari referenziati.

Implementa il detection DET0434 monitorando le directory /Library/LaunchAgents e ~/Library/LaunchAgents per nuovi file .plist. Usa fsusage per catturare in tempo reale le operazioni di scrittura file, correlando con osquery per analizzare il contenuto.

Le chiavi da monitorare prioritariamente sono RunAtLoad, KeepAlive e ProgramArguments. Un alert deve scattare quando RunAtLoad è impostato su true insieme a path eseguibili sospetti come /tmp, /var o /Users/Shared.

Query osquery per rilevare Launch Agent sospetti:

SELECT * FROM launchd WHERE 
  path LIKE '%/LaunchAgents/%' AND 
  program_arguments LIKE '%/tmp/%' OR 
  program_arguments LIKE '%/var/%'

Configura alert specifici per pattern noti: InvisibleFerret usa com.avatar.update.wake.plist, mentre Green Lambert crea com.apple.GrowlHelper.plist. Il gruppo Contagious Interview lascia tracce nei log unified quando esegue script bash tramite plist in /Library/LaunchAgents.

Riduci i falsi positivi creando una baseline dei Launch Agent legittimi presenti nell'ambiente. Software di backup, sincronizzazione cloud e updater creano regolarmente nuovi agent. Mantieni una whitelist basata su firma del codice e publisher verificati.

L'analisi forense dei Launch Agent richiede l'esame di molteplici artefatti per ricostruire la sequenza temporale dell'attacco.

Inizia dall'analisi dei file plist nelle tre location principali. Il timestamp di creazione del file indica quando l'attaccante ha stabilito la persistenza. Esamina il contenuto XML per identificare il binario eseguito e i parametri passati.

I log di sistema unified contengono tracce dell'esecuzione. Cerca voci correlate a launchctl e al Label specificato nel plist. OSX_OCEANLOTUS.D lascia tracce caratteristiche quando crea file in /Library/LaunchAgents.

Esempi di artefatti da campagne documentate mostrano pattern ricorrenti. Dacls modifica i timestamp per nascondere la vera data di installazione. CookieMiner installa multipli Launch Agent per ridondanza, ognuno puntante a diversi miner di criptovalute.

La ricostruzione temporale deve includere:

• Timestamp creazione/modifica del plist
• Prima esecuzione registrata nei log launchd
• Correlazione con altri indicatori di compromissione
• Analisi del binario referenziato per identificare capacità

Bundlore e macOS.OSAMiner mostrano tecniche di offuscamento dove il payload viene estratto solo dopo l'esecuzione iniziale. Cerca file temporanei creati durante questo processo in /var/tmp o ~/Library/Caches.

Il gruppo Contagious Interview rappresenta l'unico APT documentato che utilizza attivamente questa tecnica. Il gruppo impiega InvisibleFerret per creare com.avatar.update.wake.plist garantendo persistenza post-riavvio.

L'analisi del malware associato rivela trend significativi nell'ecosistema macOS. Keydnap, FruitFly e Proton rappresentano la prima generazione di malware macOS con Launch Agent persistence, focalizzati su keylogging e backdoor.

La seconda ondata include MacSpy e CrossRAT, che aggiungono capacità cross-platform mantenendo la stessa logica di persistenza. Calisto evolve ulteriormente mascherandosi come software di sicurezza legittimo.

I pattern geografici mostrano concentrazione di sviluppo in Asia-Pacifico, con OSX_OCEANLOTUS.D e Komplex che condividono infrastruttura e TTP. L'overlap di tool suggerisce possibili connessioni tra operatori o riutilizzo di codice pubblico.

ThiefQuest e Cuckoo Stealer rappresentano l'evoluzione verso ransomware e infostealer, mantenendo Launch Agent come meccanismo primario di persistenza. Il trend mostra spostamento da APT sponsorizzati da stati a cybercrime finanziario, con CoinTicker e CookieMiner focalizzati su furto criptovalute.

Framework MITRE ATT&CK T1543.001. Campagne documentate: Contagious Interview con InvisibleFerret. Risorse detection: DET0434 per monitoraggio Launch Agent, osquery per visibility real-time su launchd e file system events macOS.