Selon la page de présentation de MacPersistenceChecker, la version 1.8.1 propose un outil de sécurité natif macOS (13+) qui inventorie et évalue tous les mécanismes de persistance pour aider à identifier malwares et comportements indésirables.

L’outil réalise un scan étendu des vecteurs de persistance (LaunchDaemons/Agents, Login Items, kexts, System Extensions, Privileged Helpers, cron, profils de configuration, Application Support, scripts périodiques, fichiers shell de démarrage, hooks legacy, plugins variés, BTM, détections DYLD, TCC/Accessibilité). Chaque item reçoit un Risk Score (0-100) avec niveaux de sévérité et des heuristiques avancées (signatures invalides, entitlements dangereux, emplacements suspects, anomalies de fréquence de lancement, mismatch plist/binaire, anomalies temporelles). Un système de Trust Levels classe les éléments (Apple, Known Vendor, Signed, Unknown, Suspicious, Unsigned).

La solution détecte l’usage de LOLBins dans des contextes de persistance (ex. osascript + persistence, curl/wget + RunAtLoad, python + helper privilégié, security + KeepAlive, netcat + persistence), et propose un mapping MITRE ATT&CK sur les tactiques de persistance/élévation/défense/exec avec des techniques citées (T1543.001, T1543.004, T1547.001, T1547.015). Des fonctions de réputation et d’analyse comportementale mettent en évidence des patterns discrets (persistence cachée, redémarrages fréquents, agents orphelins, usurpation de processus système).

Côté opérations et forensics, l’outil fournit des timelines détaillées (création/modification/exécution, détection de timestomping et swaps binaires), des visualisations (tableaux de bord, graphes interactifs, radar de profil de sécurité), un monitoring en temps réel (FSEvents) et un mode IA optionnel (via clé API Claude) pour qualifier les changements et n’alerter qu’en fonction de la sévérité. Il intègre un serveur MCP en lecture pour requêtes programmatiques (état courant, diff, snapshots, détails d’items, analyses agrégées), un export JSON forensic (SIEM/SOAR/IR) et un système de confinement (désactivation, blocage réseau PF, sauvegarde/restauration, journal d’actions).

Éléments techniques extraits:

  • Plateforme: macOS 13+, binaire universel (Apple Silicon & Intel)
  • Fonctions clés: scan de persistance, scoring de risque, LOLBins avec contexte ATT&CK, anomalies de lancement/temps, monitoring temps réel et IA (Claude), MCP server, snapshots/diffs, export JSON, confinement
  • TTPs (MITRE ATT&CK): T1543.001, T1543.004, T1547.001, T1547.015
  • LOLBins mis en avant: osascript, curl/wget, python, security, launchctl, netcat
  • IOCs: aucun fourni

Il s’agit d’une annonce et description de fonctionnalités d’un outil de sécurité macOS dédié à l’inventaire et à l’analyse de la persistance, avec intégrations forensics, IA et automatisation.

🔗 Source originale : https://github.com/Pinperepette/MacPersistenceChecker