Plist文件修改

Plist文件修改是攻击者通过篡改macOS属性列表文件来控制系统行为或实现持久化的技术手段。plist文件作为应用程序和系统服务的核心配置载体，存储了从界面设置到执行参数的关键信息。攻击者通过插入恶意键值对、修改执行路径或劫持环境变量等方式，可隐蔽控制应用行为模式。传统防御手段主要依赖文件完整性监控（如fseventsd日志分析）、数字签名校验以及基于规则的模式匹配（如YARA规则）来检测异常plist修改。

为规避传统检测机制，攻击者发展出高度隐蔽的plist篡改技术体系，其演进路径呈现三大特征：配置存储形态从明文转向二进制编码、攻击载荷从集中式存储转向分布式引用、执行触发从静态启动转向动态条件响应。这些技术突破使得恶意plist修改能够深度融入系统正常配置生态，显著提升检测复杂度。

现有plist文件修改匿迹技术的核心策略聚焦于配置载体的合法化伪装与执行链路的去中心化重构。二进制格式注入通过非文本编码规避静态特征扫描，同时利用内存热补丁技术维持文件表面完整性；合法应用寄生技术将恶意配置嵌入商业软件的标准参数项，借助应用白名单机制实现行为掩护；环境变量劫持则通过动态链接器加载机制间接化代码执行路径，避免直接的文件系统修改痕迹；多阶段分置技术通过分布式配置存储与条件触发逻辑，将单一攻击行为分解为多个低可疑度的独立事件。技术关键在于突破传统文件监控的原子性检测假设，通过配置语义混淆、存储介质多样化、执行环境动态化等手法，构建出"微观合法、宏观恶意"的新型攻击范式。

匿迹技术的发展导致传统基于文件哈希比对或静态规则匹配的防御体系逐渐失效，防御方需采用配置语义分析、动态行为链建模等技术，结合运行时环境监控与跨文件关联分析，构建对隐蔽plist篡改的多维度检测能力。

ID: T1647

Sub-techniques: No sub-techniques

ⓘ

Tactic: 防御规避

ⓘ

Platforms: macOS

Version: 1.0

Created: 09 April 2022

Last Modified: 20 April 2022

匿迹效应

效应类型	是否存在
特征伪装	✅
行为透明	✅
数据遮蔽	✅
时空释痕	❌

特征伪装

攻击者通过仿冒合法应用配置参数、维持数字签名有效性、复用系统保留字段等手法，使恶意plist文件在结构特征、元数据属性等方面与正常配置文件保持高度一致。例如在`Info.plist`中插入伪装的`CFBundleIdentifier`值，使恶意配置在代码签名验证时呈现为合法开发者身份。

行为透明

通过环境变量动态劫持和多阶段配置分置技术，攻击者将恶意操作嵌入系统标准服务加载流程。例如利用`launchd`服务自动重载修改后的plist文件，使得配置变更无需用户交互即可生效，规避基于异常进程创建的检测。

数据遮蔽

二进制格式注入技术采用非文本编码存储恶意配置，结合内存热补丁手段避免物理文件修改。攻击者还通过加密关键字段值（如`ProgramArguments`参数）、使用私有数据类型标记等方式，阻碍防御方对plist内容的有效解析。

Procedure Examples

ID	Name	Description
S1153	Cuckoo Stealer	Cuckoo Stealer can create and populate property list (plist) files to enable execution.^[1]^[2]
S0658	XCSSET	XCSSET uses the `plutil` command to modify the `LSUIElement`, `DFBundleDisplayName`, and `CFBundleIdentifier` keys in the `/Contents/Info.plist` file to change how XCSSET is visible on the system.^[3]

Mitigations

ID	Mitigation	Description
M1013	Application Developer Guidance	Ensure applications are using Apple's developer guidance which enables hardened runtime.^[4]

Detection

ID	Data Source	Data Component	Detects
DS0017	Command	Command Execution	Monitor for commands with arguments (such as opening common command-line editors) used to modify plist files, especially commonly abused files such as those in `\~/LaunchAgents`, `\~/Library/Application Support/com.apple.backgroundtaskmanagementagent/backgrounditems.btm`, and an application's `Info.plist`.
DS0022	File	File Modification	Monitor for plist file modification, especially if immediately followed by other suspicious events such as code execution from `\~/Library/Scripts` or `\~/Library/Preferences`. Also, monitor for significant changes to any path pointers in a modified plist.
DS0009	Process	Process Creation	Monitor for newly executed processes with arguments that can modify property list (plist) files.