AppleScript

对手可能会滥用 AppleScript 进行执行。AppleScript 是一种 macOS 脚本语言，旨在通过称为 AppleEvents 的应用程序间消息控制应用程序和操作系统的部分。(引用: Apple AppleScript) 这些 AppleEvent 消息可以独立发送或通过 AppleScript 轻松编写脚本。这些事件可以定位打开的窗口、发送击键并与几乎任何本地或远程打开的应用程序交互。 可以通过命令行运行脚本，使用 osascript /path/to/script 或 osascript -e "script here"。除了命令行，脚本还可以通过多种方式执行，包括邮件规则、Calendar.app 警报和 Automator 工作流程。通过在脚本文件开头添加 #!/usr/bin/osascript，AppleScripts 也可以作为纯文本 shell 脚本执行。(引用: SentinelOne AppleScript) AppleScripts 不需要调用 osascript 即可执行。但是，它们可以通过使用 macOS 本机 API NSAppleScript 或 OSAScript 从 mach-O 二进制文件中执行，这两者都独立于 /usr/bin/osascript 命令行实用程序执行代码。 对手可能会滥用 AppleScript 执行各种行为，例如与打开的 SSH 连接交互、移动到远程计算机，甚至向用户显示虚假的对话框。这些事件无法远程启动应用程序（它们可以在本地启动），但如果它们已经在远程运行，则可以与应用程序交互。在 macOS 10.10 Yosemite 及更高版本上，AppleScript 能够执行 本机 API，否则需要在 mach-O 二进制文件格式中编译和执行。(引用: SentinelOne macOS Red Team) 由于这是一种脚本语言，它也可以用于启动更常见的技术，例如通过 Python 的反向 shell。(引用: Macro Malware Targets Macs)