Соответственно, в правиле детектится выполнение security_authtrampoline утилиты - шаг 4 и запуск процесса с euid=0 - шаг 5. security_authtrampoline - системная утилита, которая имеет suid, при корректном вводе данных создает xpcproxy сообщение для authd.
Возможно, AuthorizationExecuteWithPrivileges используется какими-то системными утилитами, но сторонние утилиты (is_platform_binary = false в логе) однозначно считаем как минимум подозрительными.
Существует устаревшее
AuthorizationExecuteWithPrivileges
API, которое упрощает процедуру установки приложений. Алгоритм работы (описан подробнее тут):authd
security_authtrampoline
-> xpcproxy контекст ->authd
Соответственно, в правиле детектится выполнение
security_authtrampoline
утилиты - шаг 4 и запуск процесса сeuid=0
- шаг 5.security_authtrampoline
- системная утилита, которая имеетsuid
, при корректном вводе данных создаетxpcproxy
сообщение дляauthd
.Возможно,
AuthorizationExecuteWithPrivileges
используется какими-то системными утилитами, но сторонние утилиты (is_platform_binary = false
в логе) однозначно считаем как минимум подозрительными.Resolves #381