Manzana envenenada es una utilidad de ristra de comandos para ejecutar varias técnicas de mecanismo de persistencia en macOS. Esta utensilio está diseñada para que la utilicen los cazadores de amenazas para pugnar las amenazas cibernéticas.
Instalar
$ pip3 instalar giftapple –adjudicatario
Nota: PoisonApple fue escrito y probado con Python 3.9. Debería funcionar con Python 3.6+
¡Notas importantes!
- PoisonApple está realizando cambios en su sistema macOS. Se recomienda usar PoisonApple solo en una máquina potencial. Aunque cualquier técnica de mecanismo de persistencia agregada con esta utensilio incluso se puede eliminar fácilmente (-r), Por valía use con precaución!
- Nota: Es probable que esta utensilio haga que los populares productos de seguridad AV / EDR / otros macOS generen alertas.
- Para comprender completamente cómo funciona cualquiera de estas técnicas, consulte The Art of Mac Malware Volume 1: Analysis – Chapter 0x2: Persistence por Patrick Wardle de Objective-See. Es un solicitud inexistente.
usar
Consulte las opciones de cambio de PoisonApple (–ayuda):
$ giftapple – ayuda
Uso: manzana venenosa [-h] [-l] [-t TECHNIQUE] [-n NAME] [-c COMMAND] [-r]
Aparejo de ristra de comandos para ejecutar diversas técnicas de mecanismo de persistencia en macOS.
Argumentos opcionales:
-h, –help Muestra y sale de este mensaje de ayuda
-l, –list enumera las técnicas de mecanismo de persistencia disponibles
-t TECNOLOGÍA, -TECNOLOGÍA TÉCNICA
Utilice la técnica del mecanismo de persistencia
-n NAME, –name NAME Nombre del archivo o nombre que se utiliza para la persistencia
-c COMANDO, -Comando COMANDO
Comando (s) a ejecutar por razones de persistencia
-r, -remover mecanismo de exterminio
- Inventario de técnicas disponibles:
+ ——————– +
| AtJob |
+ ——————– +
| Bashrc |
+ ——————– +
| Cron |
+ ——————– +
| CronRoot |
+ ——————– +
| Emond |
+ ——————– +
| LaunchAgent |
+ ——————– +
| LaunchAgentUser |
+ ——————– +
| LaunchDaemon |
+ ——————– +
| LoginHook |
+ ——————– +
| LoginHookUser |
+ ——————– +
| LoginItem |
+ ——————– +
| LogoutHook |
+ ——————– +
| LogoutHookUser |
+ ——————– +
| Periódicamente |
+ ——————– +
| Aclarar de nuevo |
+ ——————– +
| Zshrc |
+ ——————– +
- Aplicar un mecanismo de persistencia:
Prueba $ giftapple -t LaunchAgentUser -n
[+] ¡Éxito! La obra del mecanismo de persistencia fue exitosa: LaunchAgentUser
- Si no se especifica ningún comando (-c), se utiliza un comando de activación típico que escribe en un archivo en el escritorio cada vez que se activa el mecanismo de persistencia:
$ cat ~ / Escritorio / PoisonApple-LaunchAgentUser
Activado el martes 23 de marzo 17:46:02 CDT 2021
Activado el martes 23 de marzo 17:46:13 CDT 2021
Activado el martes 23 de marzo 17:46:23 CDT 2021
Activada el martes 23 de marzo a las 17:46:33 CDT 2021
Activado el martes 23 de marzo 17:46:43 CDT 2021
Activado el martes 23 de marzo 17:46:53 CDT 2021
Activada el martes 23 de marzo a las 17:47:03 CDT 2021
Activada el martes 23 de marzo a las 17:47:13 CDT 2021
Activado el martes 23 de marzo a las 17:48:05 CDT 2021
Activada el martes 23 de marzo a las 17:48:15 CDT 2021
- Eliminar un mecanismo de persistencia:
$ giftapple -t LaunchAgentUser -n Prueba -r
…
$ giftapple -t LaunchAgentUser -n foo -c «echo foo >> / Users / Users / Desktop / foo»
…
