# T1546.014 - Emond ## Técnica Pai Esta é uma sub-técnica de [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]]. O mecanismo pai abrange persistência e escalonamento de privilégios por meio de execução acionada por eventos do sistema operacional em múltiplas plataformas. ## Descrição O **Event Monitor Daemon (emond)** é um serviço nativo do macOS, presente desde o Mac OS X 10.5 (Leopard), projetado para monitorar eventos do sistema - como inicialização, autenticação de usuários e mensagens de log - e executar ações predefinidas em resposta a esses eventos. Trata-se de um [[t1543-004-launch-daemon|Launch Daemon]] que opera com privilégios de **root**, o que o torna um vetor atrativo para adversários que buscam tanto persistência quanto escalonamento de privilégios em sistemas macOS. O binário `/sbin/emond` carrega regras de configuração no formato **plist** a partir do diretório `/etc/emond.d/rules/`. Cada regra define: o nome da regra, o tipo de evento que a dispara (inicialização do sistema, autenticação, etc.) e a ação a ser executada (executar um comando de sistema, enviar e-mail, escrever em log). A flexibilidade do mecanismo torna possível executar qualquer binário arbitrário com privilégios root sempre que um evento sistema ocorrer. Um detalhe importante que protege e ao mesmo tempo viabiliza a exploração: o serviço emond **não inicia automaticamente** a menos que exista algum arquivo no diretório `/private/var/db/emondClients`. Esse comportamento é específicado no arquivo de configuração do Launch Daemon em `/System/Library/LaunchDaemons/com.apple.emond.plist`. Adversários contornam essa limitação criando um arquivo vazio (ou qualquer arquivo) nesse diretório como parte da cadeia de ataque - uma etapa que requer permissões de administrador, mas não de root. O impacto do abuso do emond é duplo: além da **persistência** (o payload é reativado a cada reinicialização ou evento de autenticação), ocorre **escalonamento de privilégios de administrador para root**, pois o daemon executa com o contexto root do Launch Daemon. Isso faz do emond um mecanismo particularmente valioso em cenários onde o atacante já possui acesso de administrador local e desejá elevar para root de forma furtiva. É relevante notar que o emond foi **descontinuado pela Apple** no macOS Ventura (13.x) e removido em versões posteriores. No entanto, um grande volume de endpoints macOS corporativos ainda opera em versões anteriores (Monterey 12.x, Big Sur 11.x), especialmente em ambientes enterprise com ciclos de atualização lentos - tornando a técnica ainda relevante operacionalmente. ## Como Funciona A exploração do emond segue uma sequência estruturada que combina escrita de arquivo, criação do trigger e ativação do daemon: **Passo 1 - Criar o arquivo de regra maliciosa** O atacante (com acesso de administrador) escreve um arquivo plist em `/etc/emond.d/rules/` com uma regra que define o evento-gatilho e o comando a executar: ```xml <!-- /etc/emond.d/rules/evil.plist --> <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" ...> <plist version="1.0"> <array> <dict> <key>name</key> <string>EvilRule</string> <key>enabled</key> <true/> <key>eventTypes</key> <array><string>startup</string></array> <key>actions</key> <array> <dict> <key>type</key> <string>RunCommand</string> <key>command</key> <string>/tmp/backdoor.sh</string> </dict> </array> </dict> </array> </plist> ``` **Passo 2 - Ativar o daemon** Criar um arquivo qualquer em `/private/var/db/emondClients` para satisfazer a condição de inicialização do Launch Daemon. O nome do arquivo não importa. **Passo 3 - Execução com root** Na próxima reinicialização (ou quando o evento `startup` ocorrer), o `launchd` inicia o `emond`, que carrega as regras do diretório `/etc/emond.d/rules/` e executa o comando definido com privilégios root. **Estrutura de diretórios relevante:** ``` /sbin/emond ← binário do daemon /etc/emond.d/rules/ ← diretório de regras (alvo de escrita) /System/Library/LaunchDaemons/com.apple.emond.plist ← configuração do Launch Daemon /private/var/db/emondClients/ ← diretório de trigger (deve ter ≥1 arquivo) ``` ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>phishing / app malicioso"] --> B["Execução<br/>permissões de administrador"] B --> C["Escrita de Regra Maliciosa<br/>/etc/emond.d/rules/evil.plist"] B --> D["Criação do Arquivo Trigger<br/>/private/var/db/emondClients/trigger"] C --> E["Condição Satisfeita<br/>arquivo em emondClients existe"] D --> E E --> F["launchd inicia emond<br/>no próximo evento de sistema"] F --> G["emond carrega regras<br/>/etc/emond.d/rules/"] G --> H["Execução do Payload<br/>com privilégios ROOT"] H --> I["Escalonamento Confirmado<br/>admin → root"] H --> J["Persistência Ativa<br/>re-executa em cada startup"] I --> K["Backdoor / C2<br/>exfiltração de dados"] style A fill:#c0392b,color:#fff style H fill:#8e44ad,color:#fff style I fill:#e67e22,color:#fff style J fill:#27ae60,color:#fff style K fill:#2980b9,color:#fff ``` ## Exemplos de Uso ### Cenário APT em Ambientes Corporativos macOS Embora não hajá atribuição pública definitiva de campanhas usando emond exclusivamente, a técnica é documentada em frameworks de Red Team e toolkits de pós-exploração direcionados a ambientes macOS. Grupos de espionagem com histórico de foco em alvos Apple - como o [[g0016-apt29|APT29]] (que operou malware macOS como o Komplex/Sofacy para macOS) e grupos de origem norte-coreana com capacidade macOS - são candidatos plausíveis para uso desta técnica em operações direcionadas. ### Contexto de Red Team e Pesquisa A técnica foi públicamente documentada por pesquisadores de segurança como uma primitiva de escalonamento de privilégios no macOS. Frameworks como **Atomic Red Team** (teste T1546.014) e ferramentas de simulação de adversários incluem módulos para esta técnica, indicando que está consolidada no repertório de Red Teams que avaliam organizações com forte presença macOS (agências de publicidade, estúdios de design, empresas de tecnologia, fintechs). ### Perfil de Vítima Típica Organizações com: - Frota macOS corporativa em versões Monterey (12.x) ou anterior - Ciclos de atualização de SO lentos (comum em empresas que dependem de compatibilidade de software específico) - Sem MDM (Mobile Device Management) configurado para monitorar `/etc/emond.d/rules/` - Usuários com privilégios de administrador local em seus MacBooks No Brasil, esse perfil é comum em fintechs, agências de marketing digital, startups de tecnologia e escritórios de advocacia - todos setores com alta adoção de macOS. ## Detecção ### Regra Sigma - Emond Abuso para Persistência/Privesc macOS ```yaml title: Emond Rule File Creation for Persistence on macOS id: b7d3a1f8-2e45-4c67-90ab-def123456789 status: stable description: | Detecta criação ou modificação de arquivos no diretório de regras do emond e/ou criação de arquivos no diretório emondClients, que pode indicar abuso do Event Monitor Daemon para persistência ou escalada de privilégios (T1546.014). references: - https://attack.mitre.org/techniques/T1546/014/ - https://www.xorrior.com/emond-persistence/ author: RunkIntel daté: 2026-03-25 tags: - attack.persistence - attack.privilege_escalation - attack.t1546.014 logsource: product: macos category: file_event detection: selection_rules_dir: TargetFilename|startswith: '/etc/emond.d/rules/' TargetFilename|endswith: '.plist' selection_trigger_dir: TargetFilename|startswith: '/private/var/db/emondClients/' selection_process: Image|endswith: - '/bash' - '/zsh' - '/python3' - '/python' - '/osascript' - '/curl' - '/wget' condition: (selection_rules_dir or selection_trigger_dir) and selection_process falsepositives: - Administradores de sistema criando regras emond legítimas (muito raro) - Scripts de automação de TI corporativa (verificar com equipe de sysadmin) level: high ``` ### Pontos de Monitoramento Adicionais - **Auditd/OpenBSM**: monitorar syscalls de escrita (`open`, `write`, `rename`) em `/etc/emond.d/rules/` - **EDR macOS** (CrowdStrike, Jámf Protect, SentinelOne): verificar se há detecção nativa para modificação do diretório emond - **Unified Log** (`log show --predicaté 'subsystem == "com.apple.emond"'`): logs do próprio daemon - **Verificação de integridade**: incluir `/etc/emond.d/rules/` em verificações periódicas de FIM (File Integrity Monitoring) - **MDM Query**: usar `mdmclient` ou Jámf para consultar periodicamente o conteúdo do diretório de regras em toda a frota ## Mitigação | ID | Mitigação | Aplicação | |----|-----------|-----------| | M1042 | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | **Principal mitigação**: desabilitar completamente o emond se não for utilizado na organização. Executar `sudo launchctl disable system/com.apple.emond` e remover o arquivo de configuração do Launch Daemon. Em macOS Ventura (13+), o serviço já foi removido pela Apple. | **Controles adicionais recomendados:** - **Atualizar para macOS Ventura ou superior**: a remoção nativa do emond pela Apple elimina o vetor completamente - **Restringir permissões de escrita** em `/etc/emond.d/rules/` para apenas root (modo 700 no diretório) - **MDM Enforcement**: usar perfis MDM (Jámf, Kandji, Mosyle) para monitorar integridade do diretório - **Principle of Least Privilege**: evitar que usuários operem como administradores locais; usar LAPS para macOS - **SIP (System Integrity Protection)**: verificar que SIP está habilitado (`csrutil status`) - protege vários diretórios do sistema ## Contexto Brasil/LATAM A técnica T1546.014 tem relevância crescente no Brasil e na América Latina em função do aumento da adoção de macOS em ambientes corporativos: **Setores de maior risco:** - **Fintechs e startups de tecnologia**: São Paulo concentra centenas de fintechs (Nubank, C6 Bank, PagSeguro) com frotas macOS significativas, muitas vezes com ciclos de patch lentos e usuários com admin local para facilitar o trabalho de desenvolvimento - **Agências de publicidade e design**: Alta adoção de MacBooks em escritórios criativos; frequentemente alvos de campanhas de infostealer que podem escalar para backdoors persistentes via emond - **Escritórios de advocacia e consultoria**: Dados sensíveis de M&A e litígios tornam esses escritórios alvos de espionagem corporativa; macOS é predominante **Contexto de ameaça regional:** Não há campanha documentada públicamente usando emond por grupos com foco exclusivo em LATAM. No entanto, grupos com capacidade macOS como [[g0016-apt29|APT29]] (que opera globalmente contra governo, energia e telecomúnicações) e grupos de espionagem comercial que atuam na América Latina poderiam utilizar esta técnica. O [[cert-br|CERT.br]] ainda não públicou alertas específicos sobre emond, mas a técnica deve ser incluída nos playbooks de hardening macOS de organizações brasileiras. **Versão de risco**: Organizações com frotas MacBook em macOS Monterey (12.x) ou versões anteriores devem priorizar a verificação e desativação do emond como medida preventiva. O comando de verificação rápida: ```bash ls /etc/emond.d/rules/ && ls /private/var/db/emondClients/ ``` ## Referências - [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]] - técnica pai - [[t1543-004-launch-daemon|T1543.004 - Launch Daemon]] - mecanismo subjacente que inicia o emond - [[t1543-001-launch-agent|T1543.001 - Launch Agent]] - técnica relacionada de persistência macOS - [[t1053-003-cron|T1053.003 - Cron]] - outra primitiva de execução agendada em macOS/Linux - [[g0016-apt29|APT29]] - grupo com histórico de malware macOS - [[m1042-disable-or-remove-feature-or-program|M1042 - Disable or Remove Feature or Program]] - mitigação principal --- *Fonte: [MITRE ATT&CK - T1546.014](https://attack.mitre.org/techniques/T1546/014)*