Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1546 , T1546.001 , T1546.002 , T1546.003 , T1546.004 , T1546.005 , T1546.006 , T1546.007 , T1546.008 , T1546.009 , T1546.010 , T1546.011 , T1546.012 , T1546.013 , T1546.014 , T1546.015 , T1546.016 , T1546.017
Злоумышленники могут получить постоянство и повысить привилегии, выполнив вредоносное содержимое, запущенное демоном Event Monitor Daemon (emond). Emond - это Launch Daemon, который принимает события от различных служб, прогоняет их через простой механизм правил и выполняет действия. Двоичный файл emond по адресу /sbin/emond загрузит любые правила из каталога /etc/emond.d/rules/ и начнет действовать, как только произойдет явно заданное событие.
Файлы правил имеют формат plist и определяют имя, тип события и действие, которое необходимо предпринять. Примерами типов событий являются запуск системы и аутентификация пользователя. Примерами действий являются выполнение системной команды или отправка электронного письма. Служба emond не запустится, если нет файла по пути QueueDirectories /private/var/db/emondClients, указанному в конфигурационном файле Launch Daemon по адресу/System/Library/LaunchDaemons/com.apple.emond.plist.(Цитата: xorrior emond Jan 2018)(Цитата: magnusviri emond Apr 2016)(Цитата: sentinelone macos persist Jun 2019)
Злоумышленники могут злоупотреблять этой службой, написав правило для выполнения команд при наступлении определенного события, такого как запуск системы или аутентификация пользователя.(Цитата: xorrior emond Jan 2018)(Цитата: magnusviri emond Apr 2016)(Цитата: sentinelone macos persist Jun 2019) Злоумышленники также могут повысить привилегии от администратора до root, поскольку служба emond выполняется с привилегиями root службой Launch Daemon.
https://attack.mitre.org/techniques/T1546/014
Визуализация смежных техник для T1546.014
| № | Техника |
|---|
