事件触发执行

对手可能会使用基于特定事件触发执行的系统机制来建立持久性和/或提升权限。各种操作系统都有监视和订阅事件（例如登录或运行特定应用程序/二进制文件等用户活动）的手段。云环境还可能支持各种功能和服务，这些功能和服务可以监视并响应特定的云事件。(引用: Backdooring an AWS account)(引用: Varonis Power Automate Data Exfiltration)(引用: Microsoft DART Case Report 001) 对手可能会滥用这些机制，作为通过重复执行恶意代码来保持对受害者的持久访问的一种手段。在获得受害者系统访问权限后，对手可能会创建/修改事件触发器以指向将在调用事件触发器时执行的恶意内容。(引用: FireEye WMI 2015)(引用: Malware Persistence on OS X)(引用: amnesia malware) 由于执行可以由具有更高权限的账户（例如 SYSTEM 或服务账户）代理，因此对手可能会滥用这些触发的执行机制来提升其权限。