De Sé lo que hiciste el mes pasado: un nuevo artefacto de ejecución en macOS 10.13
Los analistas que realizan análisis forenses de macOS han tenido pocos artefactos de la ejecución del programa para confiar durante las investigaciones - hasta ahora. En macOS 10.13 (High Sierra), Apple presentó CoreAnalytics, que es un Mecanismo de diagnóstico del sistema que mantiene un registro de Mach-O. Programas que se han ejecutado en un sistema durante aproximadamente un mes. CoreAnalytics puede servir una serie de valiosos propósitos analíticos para tanto investigaciones de amenazas internas como respuesta a incidentes. El artefacto se puede utilizar para:
- Determine el grado en que un sistema estaba en uso, con una precisión de hasta un día
- Determine qué programas se ejecutaron en un día en particular, ya sea en primer plano o en segundo plano
- Determine cuánto tiempo, aproximadamente, se estuvo ejecutando y / o activó un programa, y proporcione un número aproximado de veces que el programa fue lanzado o puesto en primer plano de forma interactiva
¿Cómo deshabilitar los CoreAnalytics permanentemente? No solo un cronjob eliminando la salida.