启动代理

对手可能会创建或修改启动代理，以在持久性的一部分中反复执行恶意负载。当用户登录时，会启动一个每用户的 launchd 进程，该进程从 /System/Library/LaunchAgents、/Library/LaunchAgents 和 ~/Library/LaunchAgents 中找到的属性列表 (.plist) 文件中加载每个按需启动的用户代理的参数。(引用: AppleDocs Launch Agent Daemons)(引用: OSX Keydnap malware) (引用: Antiquated Mac Malware) 属性列表文件使用 Label、ProgramArguments 和 RunAtLoad 键来标识启动代理的名称、可执行文件位置和执行时间。(引用: OSX.Dok Malware) 启动代理通常安装以执行程序更新、在登录时启动用户指定的程序或执行其他开发人员任务。 启动代理还可以使用 Launchctl 命令执行。 对手可能会通过将 .plist 文件放入适当的文件夹中并将 RunAtLoad 或 KeepAlive 键设置为 true 来安装在登录时执行的新启动代理。(引用: Sofacy Komplex Trojan)(引用: Methods of Mac Malware Persistence) 启动代理的名称可能会通过使用相关操作系统或良性软件的名称来伪装。启动代理是以用户级别权限创建的，并以用户级别权限执行。(引用: OSX Malware Detection)(引用: OceanLotus for OS X)