在之前的几期内容中，我们简要介绍了关于创建或修改系统程序这种攻击手法，以及相关的三种衍生手法，今天我们一起来看看最后一种：启动守护进程。

      对手可以创建或修改启动守护进程来执行恶意负载，从而实现持久性。启动守护进程是plist文件，主要用于与macOS使用的服务管理框架Launchd进行交互。启动守护进程需要更高的安装权限，在登录之前为系统上的所有用户执行。它会在后台运行，不需要用户进行交互。在macOS初始化启动过程中，launchd进程从目录/System/Library/LaunchDaemons/和/目录Library/LaunchDaemons/中找到plist文件按需加载启动系统级守护进程的参数。所需的启动守护进程参数包括标识任务的Label，提供可执行文件路径的Program，以及指定任务何时运行的RunAtLoad。启动守护进程通常用于提供对共享资源的访问、软件更新或执行自动化任务。

        通过将RunAtLoad参数设置为true和设置为恶意可执行路径的Program参数，对手可以安装配置为在启动时执行的启动守护进程。守护进程名称可以通过使用相关操作系统或良性软件的名称来进行伪装。当启动守护进程被执行时，程序就将接管管理权限。

        此外，系统配置的变化(如安装第三方包管理软件)可能会导致文件夹(如usr/local/bin)改为全局可写。因此，糟糕的配置可能会让对手修改当前启动守护进程的plist文件所引用的可执行文件。

完整列表请戳“阅读原文”

        监视添加到/Library/LaunchDaemons/文件夹中的新文件。系统启动守护进程受SIP保护。

        一些指向无符号代码的合法launchdaemon可能会被利用。对于将RunAtLoad参数设置为true的启动守护进程，确保Program参数指向的签名代码或可执行文件与企业策略保持一致。有些参数可以与其他参数互换，如Program和ProgramArguments，但必须至少有一个。

**参考来源：ATT&CK，胖头鱼编译，欢迎转载，转载请注明出处，非常感谢~~