ATT@CK之事件触发执行:Emond

ATT@CK之事件触发执行:Emond

对手可以通过使事件监视器守护程序(emond)触发恶意内容来获得持久性并进行特权提升。

定义及手法

        Emond是一个启动守护程序,它接收来自各种服务的事件,通过简单的规则引擎运行它们并采取行动。emond二进制文件/sbin/emond将加载/etc/emond.d/rules/目录中的所有规则,并在明确定义的事件发生后立即采取措施。

规则文件为plist格式,并定义事件名称、事件类型以及要执行的操作。事件类型示例包括系统启动和用户身份验证等。操作示例可运行系统命令或发送电子邮件。如果QueueDirectories路径/private/var/db/emondClients中没有文件,则该emond服务就不会启动,该文件指定在启动守护程序配置文件/System/Library/LaunchDaemons/com.apple.emond.plist中。

ATT@CK之事件触发执行:Emond

        

        攻击者可以通过编写规则,在定义的事件(例如系统启动或用户身份验证)发生时执行命令,从而滥用此服务。当emond服务由启动守护程序服务以root特权执行时,攻击者也可以将特权从管理员提升到root 。

缓解措施

名称

描述

禁用/删除程序或功能

考虑通过删除启动守护程序 plist文件来禁用emond

检测方法

        通过检查在/etc/emond.d/rules/和/private/var/db/emondClients中创建或修改的文件来监视emond规则的创建。

关于我们

        云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”,高效整合人、技术和流程,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7*24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。

        云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。

**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~

FatFish

评论已关闭。
Translate »