T1546.014: Демон мониторинга событий emond

Злоумышленники могут закрепиться в системе и повысить свои привилегии путем запуска вредоносного содержимого, активируемого демоном мониторинга событий (emond). Демон мониторинга событий emond — это демон запуска, который получает события от различных служб, применяет к ним простую систему правил и выполняет определенные действия. Бинарный файл emond, расположенный по пути /sbin/emond, загружает правила из каталога /etc/emond.d/rules/ и выполняет соответствующие действия при наступлении явно заданного события.

Файлы правил хранятся в формате PLIST; в каждом правиле указаны имя события, тип события и действие, которое необходимо предпринять. В качестве примеров типов событий можно привести запуск системы и аутентификацию пользователя. Примерами действий являются выполнение системной команды и отправка электронного письма. Служба emond не будет запущена, если отсутствует файл по пути QueueDirectories (по умолчанию /private/var/db/emondClients), указанному в конфигурационном файле демона запуска/System/Library/LaunchDaemons/com.apple.emond.plist.

Злоумышленники могут эксплуатировать эту службу, написав правило для выполнения команд при наступлении определенного события, например при запуске системы или аутентификации пользователя. Злоумышленники также могут повысить свои привилегии с администраторских до root, поскольку служба emond выполняется службой демона запуска с привилегиями root.

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе и повышения уровня привилегий путем запуска вредоносного содержимого, активируемого демоном мониторинга событий (emond).

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов, которые отражали бы создание правил emond, в каталогах /etc/emond.d/rules/ и /private/var/db/emondClients.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, которые отражали бы создание правил emond, в каталогах /etc/emond.d/rules/ и /private/var/db/emondClients.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе и повышения уровня привилегий путем запуска вредоносного содержимого, активируемого демоном мониторинга событий (emond).

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

По возможности отключите демон мониторинга событий emond, удалив файл PLIST демона запуска.