T1546.006 - LC_LOAD_DYLIB 添加

吉沃运营专员

一、概念

攻击者可以通过执行受感染的二进制文件触发的恶意内容来实现持久化，Mach-O 二进制文件有一系列头文件，用于在加载二进制文件时执行某些操作。Mach-O 二进制文件中的 LC_LOAD_DYLIB 标头告诉 macOS 和 OS X 在执行期间要加载哪些动态库 (dylib)。只要对其余字段和依赖项进行调整，就可以将这些临时添加到已编译的二进制文件中，有一些工具可用于执行这些更改。

每次执行二进制文件时，攻击者可能会修改 Mach-O 二进制标头以加载和执行恶意 dylib。尽管任何更改都会使二进制文件上的数字签名无效，因为正在修改二进制文件，但这可以通过简单地从二进制文件中删除 LC_CODE_SIGNATURE 命令来修复，这样在加载时就不会检查签名。

二、涉及到的组织或恶意软件

not yet

三、案例

not yet

四、缓解措施

• 二进制文件也可以针对它们需要的动态库进行基线化，如果应用程序需要一个新的动态库，而该动态库未包含在更新中，则应该对其进行调查
• 强制所有二进制文件由正确的 Apple Developer ID 签名
• 通过已知哈希允许应用程序
  

五、如何检测

监控可能用于修改二进制标头的进程。 监控文件系统以了解应用程序二进制文件和无效校验和/签名的更改，不符合应用程序更新或补丁的二进制文件更改也非常可疑