Emond

对手可能通过执行由事件监视器守护进程（emond）触发的恶意内容来获得持久性和提升权限。Emond是一个启动守护程序，接受来自各种服务的事件，通过简单的规则引擎运行它们，并采取行动。位于/sbin/emond的emond二进制文件将加载/etc/emond.d/rules/目录中的任何规则，并在明确定义的事件发生时采取行动。 规则文件采用plist格式，定义名称、事件类型和采取的行动。一些事件类型的示例包括系统启动和用户认证。操作的示例是运行系统命令或发送电子邮件。如果在/private/var/db/emondClients路径中没有文件存在，则emond服务不会启动，该路径在启动守护程序配置文件/System/Library/LaunchDaemons/com.apple.emond.plist中指定。(引用: xorrior emond Jan 2018)(引用: magnusviri emond Apr 2016)(引用: sentinelone macos persist Jun 2019) 对手可能通过编写规则在定义的事件发生时执行命令来滥用此服务，例如系统启动或用户认证。(引用: xorrior emond Jan 2018)(引用: magnusviri emond Apr 2016)(引用: sentinelone macos persist Jun 2019) 对手还可能通过emond服务从管理员提升到root权限，因为emond服务由启动守护程序服务以root权限执行。