det0555-detection-strategy-for-event-triggered-execution-via-emond-on-macos

# DET0555 — Detection Strategy for Event Triggered Execution via emond on macOS ## Descrição O Event Monitor Daemon (`emond`) do macOS ([[t1546-014-emond|T1546.014 — Emond]]) é um mecanismo de persistência onde adversários abusam do serviço de monitoramento de eventos nativo do sistema para executar código malicioso automaticamente quando condições específicas são aténdidas. O `emond` processa regras definidas em arquivos plist localizados em `/etc/emond.d/rules/` e pode executar comandos arbitrários em resposta a eventos do sistema. Como o `emond` roda como root e é um componente legítimo do macOS, sua exploração permite persistência com alto privilégio e baixa visibilidade. A detecção foca no monitoramento de modificações no diretório `/etc/emond.d/rules/` e na ativação do serviço `emond`. Em instalações macOS padrão, o diretório de regras do emond está vazio — qualquer arquivo plist criado neste diretório é altamente suspeito. O daemon `emond` é carregado via `launchd` (label `com.apple.emond`) e normalmente não está ativo em sistemas sem regras configuradas. A telemetria necessária inclui: Endpoint Security Framework (ESF) para file creation events em `/etc/emond.d/rules/`, monitoramento de `launchctl load` para o daemon emond, e análise de processos filhos do `emond` que não sejam esperados (qualquer execução de shell, download de binário ou conexão de rede). Embora o macOS tenha menor participação no cenário corporativo LATAM comparado ao Windows, esta técnica é relevante para organizações brasileiras dos setores de tecnologia, startups e agências de design/publicidade que utilizam frotas Mac. Grupos APT focados em espionagem, como [[apt32-oceanlotus|APT32/OceanLotus]], já demonstraram capacidade de explorar mecanismos de persistência macOS. A inclusão do monitoramento de emond em soluções EDR para Mac e a implementação de regras de file integrity monitoring (FIM) no diretório `/etc/emond.d/` são controles recomendados para ambientes com endpoints macOS. ## Indicadores de Detecção - Criação de qualquer arquivo plist em `/etc/emond.d/rules/` (diretório normalmente vazio em instalações padrão) - Ativação do serviço `com.apple.emond` via `launchctl load` ou `launchctl kickstart` em sistema que não possuía regras emond configuradas - Processo `emond` gerando processos filhos como `/bin/bash`, `/bin/sh`, `/usr/bin/python`, `/usr/bin/curl` ou qualquer binário não-sistema - Modificação de arquivos plist existentes em `/etc/emond.d/` com adição de ações `RunCommand` ou `SendEmail` apontando para binários não-Apple - Conexão de rede originada pelo processo `emond` para endereços IP externos (comportamento completamente atípico) - Alteração de permissões em `/etc/emond.d/rules/` para permitir escrita por usuários não-root ## Técnicas Relacionadas - [[t1546-014-emond|T1546.014 — Emond]] — técnica principal coberta por esta estratégia - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] — família de persistência baseada em gatilhos de eventos - [[t1543-004-launch-daemon|T1543.004 — Launch Daemon]] — persistência alternativa via launchd no macOS - [[T1053-004-launchd|T1053.004 — Launchd]] — agendamento de tarefas via launchd no macOS - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] — execução de comandos shell frequentemente invocada pelas regras emond ## Analytics Relacionadas - [[an1534-analytic-1534|AN1534 — Analytic 1534]] --- *Fonte: [MITRE ATT&CK — DET0555](https://attack.mitre.org/detectionstrategies/DET0555)*