# T1546.014 - Event Triggered Execution: Emond Técnica pai: [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]] ## Descrição **T1546.014 - Emond** é uma sub-técnica de persistência exclusiva do macOS que abusa do **Event Monitor Daemon** (`emond`) para executar comandos ou scripts arbitrários sempre que eventos de sistema pré-definidos ocorrem. O `emond` é um daemon legítimo do macOS introduzido no Mac OS X 10.5 (Leopard) que permite configurar respostas automáticas a eventos do sistema - como falhas de autenticação, mudanças de estado da bateria, e condições de startup. O mecanismo central desta técnica é o diretório de regras: ``` /etc/emond.d/rules/ ``` Cada regra é um arquivo `.plist` XML que define: (1) o **evento** que dispara a ação, (2) a **ação** a ser executada (script shell, comando, etc.). Ao depositar um arquivo de regra malicioso nesse diretório, o adversário garante execução persistente na próxima vez que o evento definido ocorrer - por exemplo, a cada inicialização do sistema (`startup`) ou a cada falha de autenticação (`authorizationError`). O `emond` é inativo por padrão em instalações modernas do macOS. No entanto, se o arquivo `/private/var/db/emondClients` existir, o daemon é ativado automaticamente no boot - e essa condição pode ser induzida pelo adversário para garantir que o emond estejá rodando. **Plataformas afetadas:** macOS (10.5 até versões modernas - risco reduzido em macOS 13+ pelo declínio do emond) > [!warning] Status no macOS Moderno > A Apple começou a descontinuar o `emond` em versões recentes do macOS. Em macOS 13 (Ventura) e posterior, o daemon pode não estar ativo por padrão. Entretanto, em ambientes corporativos com versões legadas (10.15 Catalina, 11 Big Sur, 12 Monterey) o risco permanece real. Adversários com acesso root podem reativar o serviço manualmente. ## Como Funciona O fluxo de exploração do Emond segue uma sequência precisa: 1. **Acesso com privilégios elevados:** O adversário obtém acesso root ou sudo (necessário para escrever em `/etc/emond.d/rules/`) 2. **Criação do arquivo de regra malicioso:** Um arquivo `.plist` é depositado em `/etc/emond.d/rules/` com um evento-gatilho e uma ação maliciosa 3. **Garantia de ativação do daemon:** O adversário verifica (ou cria) `/private/var/db/emondClients` para garantir que o daemon inicie no boot 4. **Disparo do evento:** Quando o evento de sistema configurado ocorre (ex: `startup`, `com.apple.securityd.auth`), o emond executa o comando malicioso ### Estrutura de uma Regra Emond Maliciosa ```xml <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <array> <dict> <key>name</key> <string>persistence_rule</string> <key>enabled</key> <true/> <key>eventTypes</key> <array> <string>startup</string> </array> <key>actions</key> <array> <dict> <key>command</key> <string>/bin/sh</string> <key>user</key> <string>root</string> <key>arguments</key> <array> <string>/tmp/.backdoor.sh</string> </array> <key>type</key> <string>RunCommand</string> </dict> </array> </dict> </array> </plist> ``` ### Tipos de Eventos Disponíveis | Tipo de Evento | Descrição | Interesse para Adversário | |----------------|-----------|--------------------------| | `startup` | Sistema inicializou | Alto - executa em cada boot | | `authorizationError` | Falha de autenticação | Médio - pode indicar interação humana | | `userIdleTime` | Sistema ocioso por X segundos | Médio - execução silenciosa | | `com.apple.securityd.auth` | Eventos de autorização de segurança | Alto - persistência discreta | ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>(exploit, phishing, engenharia social)"] --> B["Escalonamento de Privilégio<br/>(necessário: root/sudo)"] B --> C["Reconhecimento do Emond<br/>ls /etc/emond.d/rules/<br/>ls /private/var/db/emondClients"] C --> D{"emondClients<br/>existe?"} D -->|Não| E["Criar arquivo emondClients<br/>touch /private/var/db/emondClients<br/>(ativa o daemon no próximo boot)"] D -->|Sim| F["Daemon já ativo<br/>no próximo boot"] E --> G["Criar regra maliciosa<br/>/etc/emond.d/rules/<br/>malicious.plist"] F --> G G --> H["Evento de sistema ocorre<br/>(ex: startup, authorizationError)"] H --> I["emond executa<br/>comando como root"] I --> J["Payload executado:<br/>C2 beacon, backdoor,<br/>coletor de credenciais"] J --> K["Persistência garantida<br/>a cada ciclo de eventos"] classDef initial fill:#e74c3c,color:#fff classDef priv fill:#8e44ad,color:#fff classDef recon fill:#3498db,color:#fff classDef decision fill:#f39c12,color:#fff classDef action fill:#2980b9,color:#fff classDef trigger fill:#16a085,color:#fff classDef impact fill:#27ae60,color:#fff class A initial class B priv class C recon class D decision class E,F,G action class H trigger class I,J,K impact ``` ## Exemplos de Uso Embora o MITRE ATT&CK não documente grupos APT específicos com uso confirmado e público de T1546.014 em operações reais atribuídas, a técnica foi identificada em pesquisas de segurança ofensiva e ferramentas de pós-exploração para macOS. Os seguintes contextos ilustram o uso real: ### Uso em Pesquisa Ofensiva e Red Team Ferramentas de post-exploitation para macOS como **Mythic** (com agentes específicos para macOS) e **Poseidon** (agente Go do framework Mythic) incluem módulos para persistência via emond como alternativa a Launch Agents/Daemons. O interesse específico é a baixa visibilidade - o `emond` raramente é monitorado por soluções EDR configuradas para macOS. ### Relação com Grupos Focados em macOS - **[[g0007-apt28|APT28]]** e **[[g0016-apt29|APT29]]** - embora não tenham uso de Emond documentado públicamente, esses grupos têm histórico de explorar mecanismos de persistência macOS menos comuns quando operam em ambientes corporativos Apple - **[[g0032-lazarus-group|Lazarus Group]]** - documentado com variantes de malware macOS (ex: [[themida|campanhas com loaders macOS]]) que exploram mecanismos de inicialização específicos da plataforma - **Malware associado ao macOS:** [[electrum-rat|ElectricFish]], [[cspyweb|CSPYWeb]] e cargas associadas ao ecossistema de ameaças voltadas ao setor financeiro e de criptomoedas, que utilizam macOS como alvo preferêncial > [!note] Contexto de Uso Limitado > A técnica é mais relevante em campanhas de espionagem (APT) contra alvos macOS em setores de tecnologia, finanças e governo, onde MacBooks e iMacs são amplamente usados. Para operações de ransomware em massa, técnicas Windows têm prevalência significativamente maior. ## Detecção ### Regra Sigma ```yaml title: Emond Rule File Created or Modified id: a3f1b2c4-d5e6-7890-abcd-ef1234567890 status: experimental description: > Detecta criação ou modificação de arquivos no diretório de regras do Event Monitor Daemon (emond), indicando possível abuso para persistência no macOS. references: - https://attack.mitre.org/techniques/T1546/014/ - https://www.xorrior.com/emond-persistence/ author: RunkIntel daté: 2026-03-25 logsource: product: macos category: file_event detection: selection_rules: TargetFilename|startswith: - '/etc/emond.d/rules/' TargetFilename|endswith: - '.plist' selection_client: TargetFilename: '/private/var/db/emondClients' condition: selection_rules or selection_client falsepositives: - Administradores de sistema configurando regras de monitoramento legítimas via emond - Ferramentas MDM corporativas que interajam com o mecanismo emond level: high tags: - attack.persistence - attack.t1546.014 fields: - TargetFilename - User - ProcessName - CommandLine ``` ### Comandos de Auditoria ```bash # Verificar regras emond existentes ls -la /etc/emond.d/rules/ sudo cat /etc/emond.d/rules/*.plist 2>/dev/null # Verificar se o daemon está ativo ls -la /private/var/db/emondClients sudo launchctl list | grep emond # Verificar o estado do daemon via launchd sudo launchctl print system/com.apple.emond 2>/dev/null # Remoção de regra maliciosa (remediação) sudo rm /etc/emond.d/rules/malicious.plist sudo rm /private/var/db/emondClients # se não houver uso legítimo ``` ### Fontes de Dados MITRE | Fonte | O que Monitorar | |-------|-----------------| | File: File Creation | Criação de arquivos `.plist` em `/etc/emond.d/rules/` | | File: File Modification | Modificação de arquivos existentes em `/etc/emond.d/rules/` | | Process: Process Creation | `emond` iniciando processos filhos inesperados | | Command: Command Execution | Uso de `touch /private/var/db/emondClients` por processos não-administrativos | ## Mitigação | ID | Mitigação | Descrição | Prioridade | |----|-----------|-----------|------------| | [[m1022-restrict-file-and-directory-permissions\|M1022]] | Restrict File and Directory Permissions | Restringir permissões de escrita em `/etc/emond.d/rules/` e `/private/var/db/emondClients` para root exclusivamente; monitorar via auditd | Alta | | [[m1024-restrict-registry-permissions\|M1024]] | Restrict Registry Permissions | Aplicar controles equivalentes de permissão em configurações de launch de sistema | Média | ### Recomendações Adicionais - **Inventário de regras:** Manter baseline de arquivos em `/etc/emond.d/rules/` e alertar para qualquer adição ou modificação - **EDR para macOS:** Configurar soluções como Jámf Protect, CrowdStrike Falcon ou SentinelOne para monitorar alterações em `/etc/emond.d/` - **Desativação preventiva:** Em ambientes onde o emond não é necessário, remover `/private/var/db/emondClients` e desabilitar o serviço via MDM - **Integração SIEM:** Encaminhar logs de auditoria do macOS (`/var/log/system.log`) para SIEM com regras de correlação para `emond` > [!tip] Recomendação Prioritária > Para a maioria dos ambientes corporativos macOS, o emond não tem uso legítimo. A remoção preventiva do arquivo `/private/var/db/emondClients` e a aplicação de política MDM que impeça sua recriação eliminam completamente o vetor de persistência desta técnica. ## Contexto Brasil/LATAM No contexto brasileiro e latino-americano, a relevância do T1546.014 está diretamente ligada ao crescimento do uso de dispositivos macOS em setores corporativos de alto valor - especialmente **financeiro**, **tecnologia** e **governo**. Empresas de tecnologia em São Paulo e Rio de Janeiro, fintechs e startups, além de escritórios de representação de multinacionais, frequentemente operam ambientes mistas Windows/macOS onde o monitoramento do ecossistema Apple pode ser sub-dimensionado. ### Grupos com Interesse em Alvos macOS no Brasil - **[[g0032-lazarus-group|Lazarus Group]]** - histórico documentado de operações financeiras e de criptomoedas na América Latina; variantes macOS de seus malwares ([[three-rat|POOLRAT]], KANDYKORN) tornam técnicas de persistência macOS como Emond relevantes no contexto de monitoramento - **[[g0016-apt29|APT29]] (Cozy Bear)** - operações de espionagem contra governo e diplomacia; presença de Macs em ambientes governamentais brasileiros cria superfície de ataque potencial - **Grupos de crime financeiro LATAM** - grupos regionais que atacam o setor bancário têm expandido alvos de Windows para macOS à medida que executivos e desenvolvedores adotam a plataforma ### Setores em Risco no Brasil | Setor | Risco | Justificativa | |-------|-------|---------------| | [[Fintechs]] | Alto | Alta adoção de macOS; alvos de alto valor para crime financeiro | | Tecnologia/Startups | Alto | Ambientes macOS-first; segurança muitas vezes imatura | | [[_sectors\|Governo]] | Médio | Adoção crescente de Macs em agências federais; monitoramento deficiente | | Telecomúnicações | Médio | Infraestrutura crítica; alvos de espionagem | ### Regulatório No contexto da **LGPD** (Lei Geral de Proteção de Dados) e das diretrizes do **BACEN** para o setor financeiro, a detecção e resposta a técnicas de persistência como T1546.014 é obrigação implícita de segurança. A ausência de monitoramento EDR em dispositivos macOS corporativos pode configurar deficiência de controle relevante para fins de compliance. ## Referências - [MITRE ATT&CK - T1546.014](https://attack.mitre.org/techniques/T1546/014/) - [Xorrior - Emond Persistence (Blog Original)](https://www.xorrior.com/emond-persistence/) - [MITRE ATT&CK - T1546 Event Triggered Execution](https://attack.mitre.org/techniques/T1546/) - [[t1543-004-launch-daemon|T1543.004 - Launch Daemon]] - alternativa moderna de persistência macOS - [[t1543-001-launch-agent|T1543.001 - Launch Agent]] - técnica similar com menor privilégio - [[t1037-002-login-hook|T1037.002 - Login Hook]] - outra técnica de persistência macOS baseada em eventos - [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]] - técnica pai --- *Fonte: MITRE ATT&CK - T1546.014 Emond, v16.2*