# AN1534 — Analytic 1534 ## Descrição Este analítico detecta criação ou modificação não autorizada de arquivos dentro de `/etc/emond.d/rules/` ou `/private/var/db/emondClients`, que indicam tentativas de registrar uma regra maliciosa no daemon de monitoramento de eventos (emond) do macOS para persistência. A telemetria combina auditoria de sistema de arquivos (FSEvents) com eventos de execução de processo que rastreiam invocações do `/sbin/emond` e os comandos que ele executa, especialmente durante eventos de boot ou login. A relevância é alta pois o emond é um mecanismo de persistência legítimo do macOS raramente monitorado, e regras maliciosas criadas por usuários não-root ou com comandos shell inesperados indicam comprometimento. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1546-014-emond|T1546.014 — Emond]] - [[t1543-001-launch-agent|T1543.001 — Launch Agent]] - [[t1059-002-applescript|T1059.002 — AppleScript]] --- *Fonte: [MITRE ATT&CK — AN1534](https://attack.mitre.org/detectionstrategies/DET0555#AN1534)*