macOS Gatekeeper / Quarantine / XProtect
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Gatekeeper is 'n sekuriteitskenmerk wat ontwikkel is vir Mac-bedryfstelsels, ontwerp om te verseker dat gebruikers slegs vertroude sagteware op hul stelsels uitvoer. Dit funksioneer deur sagteware te verifieer wat 'n gebruiker aflaai en probeer om te open vanaf bronne buite die App Store, soos 'n app, 'n plug-in, of 'n installer pakket.
Die sleutelmeganisme van Gatekeeper lê in sy verifikasie proses. Dit kontroleer of die afgelaaide sagteware onderteken is deur 'n erkende ontwikkelaar, wat die sagteware se egtheid verseker. Verder bevestig dit of die sagteware notarized is deur Apple, wat bevestig dat dit vry is van bekende kwaadwillige inhoud en nie na notarisation gemanipuleer is nie.
Boonop versterk Gatekeeper gebruikersbeheer en sekuriteit deur gebruikers te vra om die opening van afgelaaide sagteware vir die eerste keer goed te keur. Hierdie beskerming help om te voorkom dat gebruikers per ongeluk potensieel skadelike uitvoerbare kode uitvoer wat hulle dalk vir 'n onskadelike data-lêer verwar het.
Aansoekhandtekeninge, ook bekend as kodehandtekeninge, is 'n kritieke komponent van Apple se sekuriteitsinfrastruktuur. Hulle word gebruik om die identiteit van die sagteware-auteur (die ontwikkelaar) te verifieer en om te verseker dat die kode nie sedert die laaste ondertekening gemanipuleer is nie.
Hier is hoe dit werk:
Ondertekening van die Aansoek: Wanneer 'n ontwikkelaar gereed is om hul aansoek te versprei, onderteken hulle die aansoek met 'n private sleutel. Hierdie private sleutel is geassosieer met 'n sertifikaat wat Apple aan die ontwikkelaar uitreik wanneer hulle in die Apple Developer Program inskryf. Die ondertekeningsproses behels die skep van 'n kriptografiese hash van alle dele van die app en die versleuteling van hierdie hash met die ontwikkelaar se private sleutel.
Verspreiding van die Aansoek: Die ondertekende aansoek word dan aan gebruikers versprei saam met die ontwikkelaar se sertifikaat, wat die ooreenstemmende publieke sleutel bevat.
Verifikasie van die Aansoek: Wanneer 'n gebruiker die aansoek aflaai en probeer om dit uit te voer, gebruik hul Mac-bedryfstelsel die publieke sleutel van die ontwikkelaar se sertifikaat om die hash te ontsleutel. Dit bereken dan die hash weer op grond van die huidige toestand van die aansoek en vergelyk dit met die ontsleutelde hash. As hulle ooreenstem, beteken dit die aansoek is nie gemanipuleer nie sedert die ontwikkelaar dit onderteken het, en die stelsel laat die aansoek toe om uit te voer.
Aansoekhandtekeninge is 'n noodsaaklike deel van Apple se Gatekeeper-tegnologie. Wanneer 'n gebruiker probeer om 'n aansoek wat van die internet afgelaai is, te open, verifieer Gatekeeper die aansoekhandtekening. As dit onderteken is met 'n sertifikaat wat deur Apple aan 'n bekende ontwikkelaar uitgereik is en die kode nie gemanipuleer is nie, laat Gatekeeper die aansoek toe om uit te voer. Andersins blokkeer dit die aansoek en waarsku die gebruiker.
Vanaf macOS Catalina, kontroleer Gatekeeper ook of die aansoek notarized is deur Apple, wat 'n ekstra laag van sekuriteit toevoeg. Die notarization proses kontroleer die aansoek vir bekende sekuriteitskwessies en kwaadwillige kode, en as hierdie kontroles slaag, voeg Apple 'n kaartjie by die aansoek wat Gatekeeper kan verifieer.
Wanneer jy 'n paar malware monster kontroleer, moet jy altyd die handtekening van die binêre kontroleer aangesien die ontwikkelaar wat dit onderteken het, dalk reeds verbonde is met malware.
Apple se notariseringsproses dien as 'n addisionele beskerming om gebruikers te beskerm teen potensieel skadelike sagteware. Dit behels die ontwikkelaar wat hul aansoek indien vir ondersoek deur Apple se Notary Service, wat nie verwar moet word met App Review nie. Hierdie diens is 'n geoutomatiseerde stelsel wat die ingediende sagteware ondersoek vir die teenwoordigheid van skadelike inhoud en enige potensiële probleme met kode-handtekening.
As die sagteware deur hierdie inspeksie slaag sonder om enige bekommernisse te wek, genereer die Notary Service 'n notariseringskaartjie. Die ontwikkelaar moet dan hierdie kaartjie aan hul sagteware heg, 'n proses bekend as 'stapling.' Verder word die notariseringskaartjie ook aanlyn gepubliseer waar Gatekeeper, Apple se sekuriteitstegnologie, dit kan toegang.
By die gebruiker se eerste installasie of uitvoering van die sagteware, informeer die bestaan van die notariseringskaartjie - of dit aan die uitvoerbare geheg is of aanlyn gevind word - Gatekeeper dat die sagteware deur Apple notariseer is. As gevolg hiervan vertoon Gatekeeper 'n beskrywende boodskap in die aanvanklike lanseringsdialoog, wat aandui dat die sagteware deur Apple vir skadelike inhoud nagegaan is. Hierdie proses verbeter dus die gebruiker se vertroue in die sekuriteit van die sagteware wat hulle op hul stelsels installeer of uitvoer.
Let daarop dat vanaf Sequoia weergawe, spctl nie meer toelaat om Gatekeeper-konfigurasie te wysig nie.
spctl is die CLI-gereedskap om te tel en te kommunikeer met Gatekeeper (met die syspolicyd daemon via XPC-boodskappe). Byvoorbeeld, dit is moontlik om die status van GateKeeper te sien met:
Let daarop dat GateKeeper-handtekeningkontroles slegs op lêers met die Quarantine-attribuut uitgevoer word, nie op elke lêer nie.
GateKeeper sal nagaan of 'n binêre volgens die voorkeure & die handtekening uitgevoer kan word:
syspolicyd is die hoofdaemon wat verantwoordelik is vir die afdwinging van Gatekeeper. Dit hou 'n databasis in /var/db/SystemPolicy en dit is moontlik om die kode te vind om die databasis hier te ondersteun en die SQL-sjabloon hier. Let daarop dat die databasis nie deur SIP beperk is nie en skryfbaar is deur root, en die databasis /var/db/.SystemPolicy-default word as 'n oorspronklike rugsteun gebruik in die geval dat die ander beskadig raak.
Boonop bevat die bundels /var/db/gke.bundle en /var/db/gkopaque.bundle lêers met reëls wat in die databasis ingevoeg word. Jy kan hierdie databasis as root nagaan met:
syspolicyd stel ook 'n XPC-bediener bloot met verskillende operasies soos assess, update, record en cancel wat ook bereik kan word met Security.framework se SecAssessment* API's en xpctl praat eintlik met syspolicyd via XPC.
Let op hoe die eerste reël eindig in "App Store" en die tweede in "Developer ID" en dat dit in die vorige beeld geaktiveer was om programme van die App Store en geïdentifiseerde ontwikkelaars uit te voer. As jy daardie instelling na App Store wysig, sal die "Notarized Developer ID" reëls verdwyn.
Daar is ook duisende reëls van type GKE :
Hierdie is hashes wat van:
/var/db/SystemPolicyConfiguration/gke.bundle/Contents/Resources/gke.auth
/var/db/gke.bundle/Contents/Resources/gk.db
/var/db/gkopaque.bundle/Contents/Resources/gkopaque.db
Of jy kan die vorige inligting lys met:
Die opsies --master-disable en --global-disable van spctl sal hierdie handtekeningkontroles heeltemal deaktiveer:
Wanneer dit volledig geaktiveer is, sal 'n nuwe opsie verskyn:
Dit is moontlik om te kontroleer of 'n App deur GateKeeper toegelaat sal word met:
Dit is moontlik om nuwe reëls in GateKeeper by te voeg om die uitvoering van sekere toepassings toe te laat met:
Betreffende kernel uitbreidings, die gids /var/db/SystemPolicyConfiguration bevat lêers met lyste van kexts wat toegelaat word om gelaai te word. Boonop het spctl die regte com.apple.private.iokit.nvram-csr omdat dit in staat is om nuwe vooraf-goedgekeurde kernel uitbreidings by te voeg wat ook in NVRAM in 'n kext-allowed-teams sleutel gestoor moet word.
By aflaai van 'n toepassing of lêer, spesifieke macOS toepassings soos webblaaiers of e-pos kliënte heg 'n uitgebreide lêerattribuut aan, algemeen bekend as die "quarantine vlag," aan die afgelaaide lêer. Hierdie attribuut dien as 'n sekuriteitsmaatreël om die lêer te merk as afkomstig van 'n onbetroubare bron (die internet), en potensieel risiko's dra. egter, nie alle toepassings heg hierdie attribuut aan nie, byvoorbeeld, algemene BitTorrent kliënt sagteware omseil gewoonlik hierdie proses.
Die teenwoordigheid van 'n quarantine vlag dui op macOS se Gatekeeper sekuriteitskenmerk wanneer 'n gebruiker probeer om die lêer uit te voer.
In die geval waar die quarantine vlag nie teenwoordig is nie (soos met lêers afgelaai via sommige BitTorrent kliënte), mag Gatekeeper se kontroles nie uitgevoer word nie. Dus, gebruikers moet versigtig wees wanneer hulle lêers wat van minder veilige of onbekende bronne afgelaai is, oopmaak.
Kontroleer die geldigheid van kodehandtekeninge is 'n hulpbron-intensiewe proses wat die generering van kriptografiese hashes van die kode en al sy saamgebonde hulpbronne insluit. Verder behels die kontrole van sertifikaatgeldigheid 'n aanlyn kontrole teen Apple se bedieners om te sien of dit herroep is nadat dit uitgereik is. Om hierdie redes is 'n volle kodehandtekening en notariseringskontrole onprakties om elke keer uit te voer wanneer 'n app gelaai word.
Daarom word hierdie kontroles slegs uitgevoer wanneer toepassings met die quarantined attribuut uitgevoer word.
Hierdie attribuut moet gestel word deur die toepassing wat die lêer skep/aflaai.
Echter, lêers wat in 'n sandbox is, sal hierdie attribuut aan elke lêer wat hulle skep, stel. En nie-sandboxed toepassings kan dit self stel, of die LSFileQuarantineEnabled sleutel in die Info.plist spesifiseer wat die stelsel sal dwing om die com.apple.quarantine uitgebreide attribuut op die geskepte lêers te stel,
Boonop is alle lêers wat deur 'n proses wat qtn_proc_apply_to_self aanroep, in kwarantyn. Of die API qtn_file_apply_to_path voeg die kwarantynattribuut by 'n gespesifiseerde lêerpad.
Dit is moontlik om sy status te kontroleer en in/uit te skakel (root benodig) met:
U kan ook vind of 'n lêer die kwarantyn-uitgebreide attribuut het met:
Kontroleer die waarde van die verlengde attribuut en vind die toepassing wat die kwarantyn-attribuut geskryf het met:
Werklik kan 'n proses "kwarantynvlagte aan die lêers wat dit skep, stel" (Ek het al probeer om die USER_APPROVED-vlag in 'n geskepte lêer toe te pas, maar dit sal nie toegepas word nie):
```c #include #include
enum qtn_flags { QTN_FLAG_DOWNLOAD = 0x0001, QTN_FLAG_SANDBOX = 0x0002, QTN_FLAG_HARD = 0x0004, QTN_FLAG_USER_APPROVED = 0x0040, };
#define qtn_proc_alloc _qtn_proc_alloc #define qtn_proc_apply_to_self _qtn_proc_apply_to_self #define qtn_proc_free _qtn_proc_free #define qtn_proc_init _qtn_proc_init #define qtn_proc_init_with_self _qtn_proc_init_with_self #define qtn_proc_set_flags _qtn_proc_set_flags #define qtn_file_alloc _qtn_file_alloc #define qtn_file_init_with_path _qtn_file_init_with_path #define qtn_file_free _qtn_file_free #define qtn_file_apply_to_path _qtn_file_apply_to_path #define qtn_file_set_flags _qtn_file_set_flags #define qtn_file_get_flags _qtn_file_get_flags #define qtn_proc_set_identifier _qtn_proc_set_identifier
typedef struct _qtn_proc *qtn_proc_t; typedef struct _qtn_file *qtn_file_t;
int qtn_proc_apply_to_self(qtn_proc_t); void qtn_proc_init(qtn_proc_t); int qtn_proc_init_with_self(qtn_proc_t); int qtn_proc_set_flags(qtn_proc_t, uint32_t flags); qtn_proc_t qtn_proc_alloc(); void qtn_proc_free(qtn_proc_t); qtn_file_t qtn_file_alloc(void); void qtn_file_free(qtn_file_t qf); int qtn_file_set_flags(qtn_file_t qf, uint32_t flags); uint32_t qtn_file_get_flags(qtn_file_t qf); int qtn_file_apply_to_path(qtn_file_t qf, const char *path); int qtn_file_init_with_path(qtn_file_t qf, const char path); int qtn_proc_set_identifier(qtn_proc_t qp, const char bundleid);
int main() {
qtn_proc_t qp = qtn_proc_alloc(); qtn_proc_set_identifier(qp, "xyz.hacktricks.qa"); qtn_proc_set_flags(qp, QTN_FLAG_DOWNLOAD | QTN_FLAG_USER_APPROVED); qtn_proc_apply_to_self(qp); qtn_proc_free(qp);
FILE *fp; fp = fopen("thisisquarantined.txt", "w+"); fprintf(fp, "Hello Quarantine\n"); fclose(fp);
return 0;
}
En vind al die karantynlêers met:
Quarantine-inligting word ook gestoor in 'n sentrale databasis wat deur LaunchServices bestuur word in ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2, wat die GUI toelaat om data oor die lêer oorspronge te verkry. Boonop kan dit oorgeskryf word deur toepassings wat dalk belangstel om sy oorspronge te verberg. Boonop kan dit vanaf LaunchServices APIS gedoen word.
libquarantine.dylb
Hierdie biblioteek voer verskeie funksies uit wat toelaat om die uitgebreide attribuut velde te manipuleer.
Die qtn_file_* APIs handel met lêer kwarantynbeleide, die qtn_proc_* APIs word toegepas op prosesse (lêers geskep deur die proses). Die nie-uitgevoerde __qtn_syscall_quarantine* funksies is diegene wat die beleide toepas wat mac_syscall met "Quarantine" as eerste argument aanroep wat die versoeke na Quarantine.kext stuur.
Quarantine.kext
Die kernuitbreiding is slegs beskikbaar deur die kernkas op die stelsel; egter, jy kan die Kernel Debug Kit van https://developer.apple.com/ aflaai, wat 'n gesimboliseerde weergawe van die uitbreiding sal bevat.
Hierdie Kext sal via MACF verskeie oproepe haak om alle lêer lewensiklus gebeurtenisse te vang: Skepping, opening, hernoeming, hard-linking... selfs setxattr om te voorkom dat dit die com.apple.quarantine uitgebreide attribuut stel.
Dit gebruik ook 'n paar MIB's:
security.mac.qtn.sandbox_enforce: Handhaaf kwarantyn langs Sandbox
security.mac.qtn.user_approved_exec: Gekwarantineerde prosesse kan slegs goedgekeurde lêers uitvoer
XProtect is 'n ingeboude anti-malware kenmerk in macOS. XProtect kontroleer enige toepassing wanneer dit vir die eerste keer gelaai of gewysig word teen sy databasis van bekende malware en onveilige lêertipes. Wanneer jy 'n lêer aflaai deur sekere toepassings, soos Safari, Mail, of Messages, skandeer XProtect outomaties die lêer. As dit ooreenstem met enige bekende malware in sy databasis, sal XProtect verhoed dat die lêer loop en jou waarsku oor die bedreiging.
Die XProtect-databasis word gereeld opgedateer deur Apple met nuwe malware definisies, en hierdie opdaterings word outomaties afgelaai en op jou Mac geïnstalleer. Dit verseker dat XProtect altyd op datum is met die nuutste bekende bedreigings.
Dit is egter die moeite werd om op te let dat XProtect nie 'n volwaardige antivirusoplossing is nie. Dit kontroleer slegs vir 'n spesifieke lys van bekende bedreigings en voer nie op-toegang skandering uit soos die meeste antivirus sagteware nie.
Jy kan inligting oor die nuutste XProtect-opdatering verkry deur:
XProtect is geleë op. SIP beskermde ligging by /Library/Apple/System/Library/CoreServices/XProtect.bundle en binne die bundel kan jy inligting vind wat XProtect gebruik:
XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist: Laat kode met daardie cdhashes toe om legacy regte te gebruik.
XProtect.bundle/Contents/Resources/XProtect.meta.plist: Lys van plugins en uitbreidings wat nie toegelaat word om te laai via BundleID en TeamID of wat 'n minimum weergawe aandui nie.
XProtect.bundle/Contents/Resources/XProtect.yara: Yara reëls om malware te detecteer.
XProtect.bundle/Contents/Resources/gk.db: SQLite3 databasis met hashes van geblokkeerde toepassings en TeamIDs.
Let daarop dat daar 'n ander App in /Library/Apple/System/Library/CoreServices/XProtect.app is wat verband hou met XProtect wat nie betrokke is by die Gatekeeper-proses nie.
Let daarop dat Gatekeeper nie elke keer uitgevoer word wanneer jy 'n toepassing uitvoer nie, net AppleMobileFileIntegrity (AMFI) sal slegs uitvoerbare kode handtekeninge verifieer wanneer jy 'n app uitvoer wat reeds deur Gatekeeper uitgevoer en geverifieer is.
Daarom was dit voorheen moontlik om 'n app uit te voer om dit met Gatekeeper te kas, dan nie-uitvoerbare lêers van die toepassing te wysig (soos Electron asar of NIB lêers) en as daar geen ander beskermings in plek was nie, is die toepassing uitgevoer met die kwaadwillige toevoegings.
Echter, nou is dit nie meer moontlik nie omdat macOS veranderings aan lêers binne toepassingsbundels voorkom. So, as jy die Dirty NIB aanval probeer, sal jy vind dat dit nie meer moontlik is om dit te misbruik nie omdat jy, nadat jy die app uitgevoer het om dit met Gatekeeper te kas, nie die bundel kan wysig nie. En as jy byvoorbeeld die naam van die Contents-gids na NotCon verander (soos aangedui in die exploit), en dan die hoof binêre van die app uitvoer om dit met Gatekeeper te kas, sal dit 'n fout veroorsaak en nie uitvoer nie.
Enige manier om Gatekeeper te omseil (om te regverdig dat die gebruiker iets aflaai en dit uitvoer wanneer Gatekeeper dit sou verhoed) word beskou as 'n kwesbaarheid in macOS. Dit is 'n paar CVE's wat aan tegnieke toegeken is wat in die verlede toegelaat het om Gatekeeper te omseil:
Daar is waargeneem dat as die Archive Utility gebruik word vir ekstraksie, lêers met paaie wat 886 karakters oorskry nie die com.apple.quarantine uitgebreide attribuut ontvang nie. Hierdie situasie laat onbedoeld toe dat daardie lêers Gatekeeper se sekuriteitskontroles omseil.
Kyk na die oorspronklike verslag vir meer inligting.
Wanneer 'n toepassing geskep word met Automator, is die inligting oor wat dit benodig om uit te voer binne application.app/Contents/document.wflow nie in die uitvoerbare nie. Die uitvoerbare is net 'n generiese Automator binêre genaamd Automator Application Stub.
Daarom kan jy application.app/Contents/MacOS/Automator\ Application\ Stub met 'n simboliese skakel na 'n ander Automator Application Stub binne die stelsel laat wys en dit sal uitvoer wat binne document.wflow (jou skrip) is sonder om Gatekeeper te aktiveer omdat die werklike uitvoerbare nie die kwarantyn xattr het nie.
Voorbeeld van verwagte ligging: /System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub
Kyk na die oorspronklike verslag vir meer inligting.
In hierdie omseiling is 'n zip-lêer geskep met 'n toepassing wat begin om te komprimeer vanaf application.app/Contents in plaas van application.app. Daarom is die kwarantyn attribuut op al die lêers van application.app/Contents toegepas maar nie op application.app nie, wat was wat Gatekeeper nagegaan het, so Gatekeeper is omseil omdat wanneer application.app geaktiveer is, dit nie die kwarantyn attribuut gehad het nie.
Check die oorspronklike verslag vir meer inligting.
Selfs al is die komponente verskillend, is die uitbuiting van hierdie kwesbaarheid baie soortgelyk aan die vorige een. In hierdie geval sal ons 'n Apple-argief genereer vanaf application.app/Contents sodat application.app nie die kwarantyn-attribuut sal ontvang wanneer dit deur Archive Utility uitgepak word.
Check the original report vir meer inligting.
Die ACL writeextattr kan gebruik word om te voorkom dat iemand 'n attribuut in 'n lêer skryf:
Moreover, AppleDouble lêerformaat kopieer 'n lêer, insluitend sy ACE's.
In die bronkode is dit moontlik om te sien dat die ACL teksverteenwoordiging wat binne die xattr genaamd com.apple.acl.text gestoor word, as ACL in die gedecomprimeerde lêer gestel gaan word. So, as jy 'n toepassing in 'n zip-lêer met AppleDouble lêerformaat saamgepers het met 'n ACL wat voorkom dat ander xattrs daarin geskryf word... was die kwarantyn xattr nie in die toepassing gestel nie:
Kyk na die oorspronklike verslag vir meer inligting.
Let daarop dat dit ook met AppleArchives uitgebuit kan word:
Daar is ontdek dat Google Chrome nie die kwarantyn-attribuut aan afgelaaide lêers toegeken het nie weens sommige macOS interne probleme.
AppleDouble lêerformate stoor die attribuut van 'n lêer in 'n aparte lêer wat begin met ._, dit help om lêerattribuut oor macOS masjiene te kopieer. Dit is egter opgemerk dat na die dekompressie van 'n AppleDouble lêer, die lêer wat met ._ begin nie die kwarantyn-attribuut ontvang het nie.
Om 'n lêer te kan skep wat nie die kwarantyn-attribuut sal hê nie, was dit moontlik om Gatekeeper te omseil. Die truuk was om 'n DMG-lêertoepassing te skep met die AppleDouble naamkonvensie (begin dit met ._) en 'n sigbare lêer as 'n simlink na hierdie versteekte lêer te skep sonder die kwarantyn-attribuut.
Wanneer die dmg-lêer uitgevoer word, sal dit, aangesien dit nie 'n kwarantyn-attribuut het nie, Gatekeeper omseil.
Skep 'n gids wat 'n app bevat.
Voeg uchg by die app.
Komprimeer die app na 'n tar.gz-lêer.
Stuur die tar.gz-lêer na 'n slagoffer.
Die slagoffer open die tar.gz-lêer en voer die app uit.
Gatekeeper kontroleer nie die app nie.
In 'n ".app" bundel, as die quarantine xattr nie daaraan bygevoeg word nie, wanneer dit uitgevoer word sal Gatekeeper nie geaktiveer word nie.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
