macOS Bypassing Firewalls
Techniques trouvées
Les techniques suivantes ont été trouvées fonctionnant dans certaines applications pare-feu macOS.
Abus des noms de liste blanche
Par exemple, appeler le logiciel malveillant avec des noms de processus macOS bien connus comme
launchd
Clic synthétique
Si le pare-feu demande la permission à l'utilisateur, faire en sorte que le logiciel malveillant clique sur Autoriser
Utiliser des binaires signés par Apple
Comme
curl
, mais aussi d'autres commewhois
Domaines Apple bien connus
Le pare-feu pourrait autoriser les connexions vers des domaines Apple bien connus tels que apple.com
ou icloud.com
. Et iCloud pourrait être utilisé comme un C2.
Contournement générique
Quelques idées pour essayer de contourner les pare-feu
Vérifier le trafic autorisé
Connaître le trafic autorisé vous aidera à identifier les domaines potentiellement en liste blanche ou les applications autorisées à y accéder
Abus de DNS
Les résolutions DNS sont effectuées via l'application signée mdnsreponder
qui sera probablement autorisée à contacter les serveurs DNS.
Via les applications du navigateur
oascript
Google Chrome
Firefox
Safari
Via processes injections
Si vous pouvez injecter du code dans un processus autorisé à se connecter à n'importe quel serveur, vous pourriez contourner les protections du pare-feu :
Références
Last updated