macOS Gatekeeper / Quarantine / XProtect

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Websec | Uw Cybersecurity Specialist

Gatekeeper

Gatekeeper एक सुरक्षा विशेषता है जो Mac ऑपरेटिंग सिस्टम के लिए विकसित की गई है, जिसका उद्देश्य यह सुनिश्चित करना है कि उपयोगकर्ता अपने सिस्टम पर केवल विश्वसनीय सॉफ़्टवेयर चलाएँ। यह सॉफ़्टवेयर को मान्य करके कार्य करता है जो उपयोगकर्ता डाउनलोड करता है और ऐप स्टोर के बाहर के स्रोतों से खोलने का प्रयास करता है, जैसे कि एक ऐप, एक प्लग-इन, या एक इंस्टॉलर पैकेज।

Gatekeeper का मुख्य तंत्र इसके सत्यापन प्रक्रिया में निहित है। यह जांचता है कि क्या डाउनलोड किया गया सॉफ़्टवेयर एक मान्यता प्राप्त डेवलपर द्वारा हस्ताक्षरित है, जो सॉफ़्टवेयर की प्रामाणिकता सुनिश्चित करता है। इसके अलावा, यह यह सुनिश्चित करता है कि सॉफ़्टवेयर Apple द्वारा नोटरीकृत है, यह पुष्टि करते हुए कि यह ज्ञात दुर्भावनापूर्ण सामग्री से मुक्त है और नोटरीकरण के बाद इसमें छेड़छाड़ नहीं की गई है।

इसके अतिरिक्त, Gatekeeper उपयोगकर्ता नियंत्रण और सुरक्षा को पहली बार डाउनलोड किए गए सॉफ़्टवेयर को खोलने के लिए उपयोगकर्ताओं से अनुमोदन प्राप्त करके मजबूत करता है। यह सुरक्षा उपाय उपयोगकर्ताओं को संभावित हानिकारक निष्पादन योग्य कोड को अनजाने में चलाने से रोकने में मदद करता है जिसे वे एक हानिरहित डेटा फ़ाइल के रूप में गलत समझ सकते हैं।

Application Signatures

एप्लिकेशन हस्ताक्षर, जिन्हें कोड हस्ताक्षर भी कहा जाता है, Apple की सुरक्षा अवसंरचना का एक महत्वपूर्ण घटक हैं। इन्हें सॉफ़्टवेयर लेखक की पहचान की पुष्टि करने (डेवलपर) और यह सुनिश्चित करने के लिए उपयोग किया जाता है कि कोड को अंतिम बार हस्ताक्षरित किए जाने के बाद से इसमें छेड़छाड़ नहीं की गई है।

यहाँ यह कैसे काम करता है:

एप्लिकेशन पर हस्ताक्षर करना: जब एक डेवलपर अपने एप्लिकेशन को वितरित करने के लिए तैयार होता है, तो वह एक निजी कुंजी का उपयोग करके एप्लिकेशन पर हस्ताक्षर करता है। यह निजी कुंजी एक प्रमाण पत्र से जुड़ी होती है जो Apple डेवलपर प्रोग्राम में नामांकित होने पर डेवलपर को जारी करता है। हस्ताक्षर प्रक्रिया में ऐप के सभी भागों का एक क्रिप्टोग्राफिक हैश बनाना और इस हैश को डेवलपर की निजी कुंजी के साथ एन्क्रिप्ट करना शामिल है।
एप्लिकेशन का वितरण: हस्ताक्षरित एप्लिकेशन फिर उपयोगकर्ताओं को डेवलपर के प्रमाण पत्र के साथ वितरित किया जाता है, जिसमें संबंधित सार्वजनिक कुंजी होती है।
एप्लिकेशन का सत्यापन: जब एक उपयोगकर्ता एप्लिकेशन डाउनलोड करता है और इसे चलाने का प्रयास करता है, तो उनका Mac ऑपरेटिंग सिस्टम डेवलपर के प्रमाण पत्र से सार्वजनिक कुंजी का उपयोग करके हैश को डिक्रिप्ट करता है। फिर यह एप्लिकेशन की वर्तमान स्थिति के आधार पर हैश की पुनः गणना करता है और इसे डिक्रिप्टेड हैश के साथ तुलना करता है। यदि वे मेल खाते हैं, तो इसका मतलब है कि एप्लिकेशन को संशोधित नहीं किया गया है जब से डेवलपर ने इसे हस्ताक्षरित किया था, और सिस्टम एप्लिकेशन को चलाने की अनुमति देता है।

एप्लिकेशन हस्ताक्षर Apple की Gatekeeper तकनीक का एक आवश्यक हिस्सा हैं। जब एक उपयोगकर्ता इंटरनेट से डाउनलोड किए गए एप्लिकेशन को खोलने का प्रयास करता है, तो Gatekeeper एप्लिकेशन हस्ताक्षर की पुष्टि करता है। यदि इसे एक ज्ञात डेवलपर को Apple द्वारा जारी किए गए प्रमाण पत्र के साथ हस्ताक्षरित किया गया है और कोड में छेड़छाड़ नहीं की गई है, तो Gatekeeper एप्लिकेशन को चलाने की अनुमति देता है। अन्यथा, यह एप्लिकेशन को ब्लॉक कर देता है और उपयोगकर्ता को सूचित करता है।

macOS Catalina से शुरू होकर, Gatekeeper यह भी जांचता है कि क्या एप्लिकेशन को Apple द्वारा नोटरीकृत किया गया है, जो सुरक्षा की एक अतिरिक्त परत जोड़ता है। नोटरीकरण प्रक्रिया एप्लिकेशन की ज्ञात सुरक्षा समस्याओं और दुर्भावनापूर्ण कोड की जांच करती है, और यदि ये जांच पास होती हैं, तो Apple एप्लिकेशन में एक टिकट जोड़ता है जिसे Gatekeeper सत्यापित कर सकता है।

Check Signatures

कुछ malware sample की जांच करते समय आपको हमेशा हस्ताक्षर की जांच करनी चाहिए क्योंकि डेवलपर जिसने इसे हस्ताक्षरित किया है, वह पहले से ही malware से संबंधित हो सकता है।

# Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

# Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

# Get entitlements from the binary
codesign -d --entitlements :- /System/Applications/Automator.app # Check the TCC perms

# Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app

# Sign a binary
codesign -s <cert-name-keychain> toolsdemo

Notarization

Apple की नोटरीकरण प्रक्रिया उपयोगकर्ताओं को संभावित हानिकारक सॉफ़्टवेयर से बचाने के लिए एक अतिरिक्त सुरक्षा उपाय के रूप में कार्य करती है। इसमें डेवलपर द्वारा उनके आवेदन को Apple's Notary Service द्वारा परीक्षा के लिए प्रस्तुत करना शामिल है, जिसे App Review के साथ भ्रमित नहीं किया जाना चाहिए। यह सेवा एक स्वचालित प्रणाली है जो प्रस्तुत सॉफ़्टवेयर की दुष्ट सामग्री और कोड-हस्ताक्षर के साथ किसी भी संभावित मुद्दों की जांच करती है।

यदि सॉफ़्टवेयर इस निरीक्षण को बिना किसी चिंता के पास करता है, तो Notary Service एक नोटरीकरण टिकट उत्पन्न करती है। डेवलपर को फिर इस टिकट को अपने सॉफ़्टवेयर से संलग्न करना आवश्यक है, जिसे 'स्टेपलिंग' के रूप में जाना जाता है। इसके अलावा, नोटरीकरण टिकट को ऑनलाइन भी प्रकाशित किया जाता है जहाँ Gatekeeper, Apple की सुरक्षा तकनीक, इसे एक्सेस कर सकती है।

उपयोगकर्ता द्वारा सॉफ़्टवेयर की पहली स्थापना या निष्पादन पर, नोटरीकरण टिकट की उपस्थिति - चाहे वह निष्पादन योग्य के साथ स्टेपल किया गया हो या ऑनलाइन पाया गया हो - Gatekeeper को सूचित करती है कि सॉफ़्टवेयर को Apple द्वारा नोटरीकरण किया गया है। परिणामस्वरूप, Gatekeeper प्रारंभिक लॉन्च संवाद में एक वर्णनात्मक संदेश प्रदर्शित करता है, जो यह संकेत करता है कि सॉफ़्टवेयर को Apple द्वारा दुष्ट सामग्री के लिए जांचा गया है। यह प्रक्रिया उपयोगकर्ताओं के लिए उस सॉफ़्टवेयर की सुरक्षा में विश्वास को बढ़ाती है जिसे वे अपने सिस्टम पर स्थापित या चलाते हैं।

spctl & syspolicyd

ध्यान दें कि Sequoia संस्करण से, spctl अब Gatekeeper कॉन्फ़िगरेशन को संशोधित करने की अनुमति नहीं देता।

spctl CLI उपकरण है जो Gatekeeper के साथ बातचीत करने और उसे सूचीबद्ध करने के लिए है (XPC संदेशों के माध्यम से syspolicyd डेमन के साथ)। उदाहरण के लिए, आप GateKeeper की स्थिति को देखने के लिए:

# Check the status
spctl --status

ध्यान दें कि GateKeeper सिग्नेचर जांच केवल क्वारंटाइन विशेषता वाले फ़ाइलों के लिए की जाती है, हर फ़ाइल के लिए नहीं।

GateKeeper यह जांचेगा कि प्राथमिकताएँ और सिग्नेचर के अनुसार एक बाइनरी को निष्पादित किया जा सकता है:

syspolicyd मुख्य डेमन है जो Gatekeeper को लागू करने के लिए जिम्मेदार है। यह /var/db/SystemPolicy में स्थित एक डेटाबेस बनाए रखता है और डेटाबेस का समर्थन करने के लिए कोड यहां और SQL टेम्पलेट यहां पाया जा सकता है। ध्यान दें कि डेटाबेस SIP द्वारा अनियंत्रित है और इसे रूट द्वारा लिखा जा सकता है और डेटाबेस /var/db/.SystemPolicy-default का उपयोग एक मूल बैकअप के रूप में किया जाता है यदि अन्य भ्रष्ट हो जाए।

इसके अलावा, बंडल /var/db/gke.bundle और /var/db/gkopaque.bundle में नियमों के साथ फ़ाइलें होती हैं जो डेटाबेस में डाली जाती हैं। आप रूट के साथ इस डेटाबेस की जांच कर सकते हैं:

# Open database
sqlite3 /var/db/SystemPolicy

# Get allowed rules
SELECT requirement,allow,disabled,label from authority where label != 'GKE' and disabled=0;
requirement|allow|disabled|label
anchor apple generic and certificate 1[subject.CN] = "Apple Software Update Certification Authority"|1|0|Apple Installer
anchor apple|1|0|Apple System
anchor apple generic and certificate leaf[field.1.2.840.113635.100.6.1.9] exists|1|0|Mac App Store
anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] exists and (certificate leaf[field.1.2.840.113635.100.6.1.14] or certificate leaf[field.1.2.840.113635.100.6.1.13]) and notarized|1|0|Notarized Developer ID
[...]

syspolicyd एक XPC सर्वर को विभिन्न ऑपरेशनों के साथ उजागर करता है जैसे assess, update, record और cancel, जो Security.framework के SecAssessment* APIs का उपयोग करके भी पहुँचा जा सकता है और xpctl वास्तव में syspolicyd से XPC के माध्यम से बात करता है।

ध्यान दें कि पहला नियम "App Store" में समाप्त होता है और दूसरा "Developer ID" में, और पिछले चित्र में यह App Store और पहचाने गए डेवलपर्स से ऐप्स को निष्पादित करने के लिए सक्षम था। यदि आप उस सेटिंग को App Store में संशोधित करते हैं, तो "Notarized Developer ID" नियम गायब हो जाएंगे।

यहां प्रकार GKE के हजारों नियम भी हैं:

SELECT requirement,allow,disabled,label from authority where label = 'GKE' limit 5;
cdhash H"b40281d347dc574ae0850682f0fd1173aa2d0a39"|1|0|GKE
cdhash H"5fd63f5342ac0c7c0774ebcbecaf8787367c480f"|1|0|GKE
cdhash H"4317047eefac8125ce4d44cab0eb7b1dff29d19a"|1|0|GKE
cdhash H"0a71962e7a32f0c2b41ddb1fb8403f3420e1d861"|1|0|GKE
cdhash H"8d0d90ff23c3071211646c4c9c607cdb601cb18f"|1|0|GKE

ये हैश हैं जो निम्नलिखित से हैं:

/var/db/SystemPolicyConfiguration/gke.bundle/Contents/Resources/gke.auth
/var/db/gke.bundle/Contents/Resources/gk.db
/var/db/gkopaque.bundle/Contents/Resources/gkopaque.db

या आप पिछले जानकारी को इस तरह सूचीबद्ध कर सकते हैं:

sudo spctl --list

विकल्प --master-disable और --global-disable का spctl पूरी तरह से इन हस्ताक्षर जांचों को अक्षम कर देंगे:

# Disable GateKeeper
spctl --global-disable
spctl --master-disable

# Enable it
spctl --global-enable
spctl --master-enable

जब पूरी तरह से सक्षम किया जाता है, तो एक नया विकल्प दिखाई देगा:

यह संभव है कि जांचें कि क्या एक ऐप को GateKeeper द्वारा अनुमति दी जाएगी:

spctl --assess -v /Applications/App.app

GateKeeper में कुछ ऐप्स के निष्पादन की अनुमति देने के लिए नए नियम जोड़ना संभव है:

# Check if allowed - nop
spctl --assess -v /Applications/App.app
/Applications/App.app: rejected
source=no usable signature

# Add a label and allow this label in GateKeeper
sudo spctl --add --label "whitelist" /Applications/App.app
sudo spctl --enable --label "whitelist"

# Check again - yep
spctl --assess -v /Applications/App.app
/Applications/App.app: accepted

Regarding kernel extensions, the folder /var/db/SystemPolicyConfiguration contains files with lists of kexts allowed to be loaded. Moreover, spctl has the entitlement com.apple.private.iokit.nvram-csr because it's capable of adding new pre-approved kernel extensions which need to be saved also in NVRAM in a kext-allowed-teams key.

Quarantine Files

Upon downloading an application or file, specific macOS applications such as web browsers or email clients attach an extended file attribute, commonly known as the "quarantine flag," to the downloaded file. This attribute acts as a security measure to mark the file as coming from an untrusted source (the internet), and potentially carrying risks. However, not all applications attach this attribute, for instance, common BitTorrent client software usually bypasses this process.

The presence of a quarantine flag signals macOS's Gatekeeper security feature when a user attempts to execute the file.

In the case where the quarantine flag is not present (as with files downloaded via some BitTorrent clients), Gatekeeper's checks may not be performed. Thus, users should exercise caution when opening files downloaded from less secure or unknown sources.

कोड सिग्नेचर की वैधता की जांच करना एक संसाधन-गहन प्रक्रिया है जिसमें कोड और इसके सभी बंडल किए गए संसाधनों के क्रिप्टोग्राफिक हैश उत्पन्न करना शामिल है। इसके अलावा, प्रमाणपत्र की वैधता की जांच करने के लिए Apple के सर्वरों पर एक ऑनलाइन जांच करनी होती है यह देखने के लिए कि क्या इसे जारी किए जाने के बाद रद्द किया गया है। इन कारणों से, एक पूर्ण कोड सिग्नेचर और नोटरीकरण जांच हर बार एक ऐप लॉन्च होने पर चलाना व्यावहारिक नहीं है।

इसलिए, ये जांचें केवल उन ऐप्स को निष्पादित करते समय चलती हैं जिनमें क्वारंटाइन विशेषता होती है।

यह विशेषता फाइल बनाने/डाउनलोड करने वाले एप्लिकेशन द्वारा सेट की जानी चाहिए।

हालांकि, जो फाइलें सैंडबॉक्स की गई हैं, उनमें यह विशेषता उन सभी फाइलों पर सेट की जाएगी जो वे बनाते हैं। और गैर-सैंडबॉक्स ऐप इसे स्वयं सेट कर सकते हैं, या LSFileQuarantineEnabled कुंजी को Info.plist में निर्दिष्ट कर सकते हैं, जिससे सिस्टम बनाई गई फाइलों पर com.apple.quarantine विस्तारित विशेषता सेट करेगा,

Moreover, all files created by a process calling qtn_proc_apply_to_self are quarantined. Or the API qtn_file_apply_to_path adds the quarantine attribute to a specified file path.

It's possible to check it's status and enable/disable (root required) with:

spctl --status
assessments enabled

spctl --enable
spctl --disable
#You can also allow nee identifies to execute code using the binary "spctl"

आप यह भी जान सकते हैं कि क्या किसी फ़ाइल में संगरोध विस्तारित विशेषता है:

xattr file.png
com.apple.macl
com.apple.quarantine

चेक करें value का extended attributes और पता करें कि कौन सा ऐप ने क्वारंटाइन attr लिखा:

xattr -l portada.png
com.apple.macl:
00000000  03 00 53 DA 55 1B AE 4C 4E 88 9D CA B7 5C 50 F3  |..S.U..LN.....P.|
00000010  16 94 03 00 27 63 64 97 98 FB 4F 02 84 F3 D0 DB  |....'cd...O.....|
00000020  89 53 C3 FC 03 00 27 63 64 97 98 FB 4F 02 84 F3  |.S....'cd...O...|
00000030  D0 DB 89 53 C3 FC 00 00 00 00 00 00 00 00 00 00  |...S............|
00000040  00 00 00 00 00 00 00 00                          |........|
00000048
com.apple.quarantine: 00C1;607842eb;Brave;F643CD5F-6071-46AB-83AB-390BA944DEC5
# 00c1 -- It has been allowed to eexcute this file (QTN_FLAG_USER_APPROVED = 0x0040)
# 607842eb -- Timestamp
# Brave -- App
# F643CD5F-6071-46AB-83AB-390BA944DEC5 -- UID assigned to the file downloaded

वास्तव में एक प्रक्रिया "जो फ़ाइलें वह बनाती है, उन पर संगरोध ध्वज सेट कर सकती है" (मैंने पहले ही एक बनाई गई फ़ाइल में USER_APPROVED ध्वज लागू करने की कोशिश की, लेकिन यह लागू नहीं हुआ):

स्रोत कोड संगरोध ध्वज लागू करें

```c #include #include

enum qtn_flags { QTN_FLAG_DOWNLOAD = 0x0001, QTN_FLAG_SANDBOX = 0x0002, QTN_FLAG_HARD = 0x0004, QTN_FLAG_USER_APPROVED = 0x0040, };

#define qtn_proc_alloc _qtn_proc_alloc #define qtn_proc_apply_to_self _qtn_proc_apply_to_self #define qtn_proc_free _qtn_proc_free #define qtn_proc_init _qtn_proc_init #define qtn_proc_init_with_self _qtn_proc_init_with_self #define qtn_proc_set_flags _qtn_proc_set_flags #define qtn_file_alloc _qtn_file_alloc #define qtn_file_init_with_path _qtn_file_init_with_path #define qtn_file_free _qtn_file_free #define qtn_file_apply_to_path _qtn_file_apply_to_path #define qtn_file_set_flags _qtn_file_set_flags #define qtn_file_get_flags _qtn_file_get_flags #define qtn_proc_set_identifier _qtn_proc_set_identifier

typedef struct _qtn_proc *qtn_proc_t; typedef struct _qtn_file *qtn_file_t;

int qtn_proc_apply_to_self(qtn_proc_t); void qtn_proc_init(qtn_proc_t); int qtn_proc_init_with_self(qtn_proc_t); int qtn_proc_set_flags(qtn_proc_t, uint32_t flags); qtn_proc_t qtn_proc_alloc(); void qtn_proc_free(qtn_proc_t); qtn_file_t qtn_file_alloc(void); void qtn_file_free(qtn_file_t qf); int qtn_file_set_flags(qtn_file_t qf, uint32_t flags); uint32_t qtn_file_get_flags(qtn_file_t qf); int qtn_file_apply_to_path(qtn_file_t qf, const char *path); int qtn_file_init_with_path(qtn_file_t qf, const char path); int qtn_proc_set_identifier(qtn_proc_t qp, const char bundleid);

int main() {

qtn_proc_t qp = qtn_proc_alloc(); qtn_proc_set_identifier(qp, "xyz.hacktricks.qa"); qtn_proc_set_flags(qp, QTN_FLAG_DOWNLOAD | QTN_FLAG_USER_APPROVED); qtn_proc_apply_to_self(qp); qtn_proc_free(qp);

FILE *fp; fp = fopen("thisisquarantined.txt", "w+"); fprintf(fp, "Hello Quarantine\n"); fclose(fp);

return 0;

}

</details>

और **हटाएं** वह विशेषता:
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine

और सभी क्वारंटाइन की गई फ़ाइलों को खोजें:

find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"

क्वारंटाइन जानकारी एक केंद्रीय डेटाबेस में भी संग्रहीत होती है जिसे LaunchServices द्वारा प्रबंधित किया जाता है ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 जो GUI को फ़ाइल के मूल के बारे में डेटा प्राप्त करने की अनुमति देता है। इसके अलावा, इसे उन अनुप्रयोगों द्वारा अधिलेखित किया जा सकता है जो इसके मूल को छिपाने में रुचि रखते हैं। इसके अलावा, यह LaunchServices APIS से किया जा सकता है।

libquarantine.dylb

यह पुस्तकालय कई कार्यों को निर्यात करता है जो विस्तारित विशेषता फ़ील्ड को संशोधित करने की अनुमति देते हैं।

qtn_file_* APIs फ़ाइल क्वारंटाइन नीतियों से संबंधित हैं, qtn_proc_* APIs प्रक्रियाओं (प्रक्रिया द्वारा बनाई गई फ़ाइलें) पर लागू होते हैं। निर्यातित नहीं किए गए __qtn_syscall_quarantine* कार्य वे हैं जो नीतियों को लागू करते हैं जो "Quarantine" को पहले तर्क के रूप में mac_syscall को कॉल करते हैं जो अनुरोधों को Quarantine.kext पर भेजता है।

Quarantine.kext

कर्नेल एक्सटेंशन केवल सिस्टम पर कर्नेल कैश के माध्यम से उपलब्ध है; हालाँकि, आप Kernel Debug Kit डाउनलोड कर सकते हैं https://developer.apple.com/, जिसमें एक्सटेंशन का एक प्रतीकित संस्करण होगा।

यह Kext MACF के माध्यम से कई कॉल को हुक करेगा ताकि फ़ाइल जीवनचक्र के सभी घटनाओं को ट्रैप किया जा सके: निर्माण, खोलना, नाम बदलना, हार्ड-लिंकिंग... यहां तक कि setxattr को com.apple.quarantine विस्तारित विशेषता सेट करने से रोकने के लिए।

यह कुछ MIBs का भी उपयोग करता है:

security.mac.qtn.sandbox_enforce: सैंडबॉक्स के साथ क्वारंटाइन को लागू करें
security.mac.qtn.user_approved_exec: क्वारंटाइन की गई प्रक्रियाएँ केवल अनुमोदित फ़ाइलें चला सकती हैं

XProtect

XProtect macOS में एक अंतर्निहित एंटी-मैलवेयर सुविधा है। XProtect किसी भी एप्लिकेशन की पहली बार लॉन्च या संशोधित होने पर इसकी ज्ञात मैलवेयर और असुरक्षित फ़ाइल प्रकारों के डेटाबेस के खिलाफ जांच करता है। जब आप कुछ ऐप्स के माध्यम से फ़ाइल डाउनलोड करते हैं, जैसे Safari, Mail, या Messages, XProtect स्वचालित रूप से फ़ाइल को स्कैन करता है। यदि यह अपने डेटाबेस में किसी ज्ञात मैलवेयर से मेल खाता है, तो XProtect फ़ाइल को चलने से रोक देगा और आपको खतरे के बारे में सूचित करेगा।

XProtect डेटाबेस को नियमित रूप से Apple द्वारा नए मैलवेयर परिभाषाओं के साथ अपडेट किया जाता है, और ये अपडेट स्वचालित रूप से आपके Mac पर डाउनलोड और स्थापित होते हैं। यह सुनिश्चित करता है कि XProtect हमेशा नवीनतम ज्ञात खतरों के साथ अद्यतित है।

हालांकि, यह ध्यान देने योग्य है कि XProtect एक पूर्ण-विशेषता वाला एंटीवायरस समाधान नहीं है। यह केवल ज्ञात खतरों की एक विशिष्ट सूची की जांच करता है और अधिकांश एंटीवायरस सॉफ़्टवेयर की तरह ऑन-एक्सेस स्कैनिंग नहीं करता है।

आप नवीनतम XProtect अपडेट के बारे में जानकारी प्राप्त कर सकते हैं:

system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistConfigData" | tail -n 5

XProtect /Library/Apple/System/Library/CoreServices/XProtect.bundle पर स्थित है और बंडल के अंदर आप जानकारी पा सकते हैं जिसका उपयोग XProtect करता है:

XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist: उन cdhashes के साथ कोड को विरासत के अधिकारों का उपयोग करने की अनुमति देता है।
XProtect.bundle/Contents/Resources/XProtect.meta.plist: प्लगइन्स और एक्सटेंशनों की सूची जो BundleID और TeamID के माध्यम से लोड करने की अनुमति नहीं है या न्यूनतम संस्करण को इंगित करती है।
XProtect.bundle/Contents/Resources/XProtect.yara: मैलवेयर का पता लगाने के लिए यारा नियम।
XProtect.bundle/Contents/Resources/gk.db: अवरुद्ध अनुप्रयोगों और TeamIDs के हैश के साथ SQLite3 डेटाबेस।

ध्यान दें कि /Library/Apple/System/Library/CoreServices/XProtect.app में XProtect से संबंधित एक और ऐप है जो Gatekeeper प्रक्रिया में शामिल नहीं है।

Not Gatekeeper

ध्यान दें कि Gatekeeper हर बार जब आप एक एप्लिकेशन चलाते हैं, निष्पादित नहीं होता, केवल AppleMobileFileIntegrity (AMFI) केवल निष्पादित कोड हस्ताक्षर की पुष्टि करेगा जब आप एक ऐप चलाते हैं जिसे पहले से Gatekeeper द्वारा निष्पादित और सत्यापित किया गया है।

इसलिए, पहले एक ऐप को Gatekeeper के साथ कैश करने के लिए निष्पादित करना संभव था, फिर अनुप्रयोग के निष्पादित नहीं होने वाले फ़ाइलों को संशोधित करना (जैसे Electron asar या NIB फ़ाइलें) और यदि कोई अन्य सुरक्षा उपाय नहीं थे, तो अनुप्रयोग निष्पादित होता था दुष्ट परिवर्धनों के साथ।

हालांकि, अब यह संभव नहीं है क्योंकि macOS अनुप्रयोगों के बंडलों के अंदर फ़ाइलों को संशोधित करने से रोकता है। इसलिए, यदि आप Dirty NIB हमले का प्रयास करते हैं, तो आप पाएंगे कि इसे दुरुपयोग करना अब संभव नहीं है क्योंकि Gatekeeper के साथ इसे कैश करने के लिए ऐप को निष्पादित करने के बाद, आप बंडल को संशोधित नहीं कर पाएंगे। और यदि आप उदाहरण के लिए Contents निर्देशिका का नाम NotCon में बदलते हैं (जैसा कि शोषण में इंगित किया गया है), और फिर ऐप के मुख्य बाइनरी को Gatekeeper के साथ कैश करने के लिए निष्पादित करते हैं, तो यह एक त्रुटि उत्पन्न करेगा और निष्पादित नहीं होगा।

Gatekeeper Bypasses

Gatekeeper को बायपास करने का कोई भी तरीका (उपयोगकर्ता को कुछ डाउनलोड करने और निष्पादित करने के लिए प्रबंधित करना जब Gatekeeper इसे अस्वीकार करना चाहिए) macOS में एक भेद्यता माना जाता है। ये कुछ CVEs हैं जो तकनीकों को सौंपे गए हैं जिन्होंने अतीत में Gatekeeper को बायपास करने की अनुमति दी:

CVE-2021-1810

यह देखा गया कि यदि Archive Utility का उपयोग निष्कर्षण के लिए किया जाता है, तो 886 वर्णों से अधिक की पथ वाली फ़ाइलें com.apple.quarantine विस्तारित विशेषता प्राप्त नहीं करती हैं। यह स्थिति अनजाने में उन फ़ाइलों को Gatekeeper की सुरक्षा जांचों को बायपास करने की अनुमति देती है।

अधिक जानकारी के लिए मूल रिपोर्ट की जांच करें।

CVE-2021-30990

जब एक एप्लिकेशन Automator के साथ बनाया जाता है, तो इसे निष्पादित करने के लिए आवश्यक जानकारी application.app/Contents/document.wflow के अंदर होती है न कि निष्पादित में। निष्पादित केवल एक सामान्य Automator बाइनरी है जिसे Automator Application Stub कहा जाता है।

इसलिए, आप application.app/Contents/MacOS/Automator\ Application\ Stub को सिस्टम के अंदर एक अन्य Automator Application Stub की ओर एक प्रतीकात्मक लिंक के साथ इंगित कर सकते हैं और यह document.wflow (आपका स्क्रिप्ट) के अंदर जो है उसे Gatekeeper को ट्रिगर किए बिना निष्पादित करेगा क्योंकि वास्तविक निष्पादित में क्वारंटाइन xattr नहीं है।

उदाहरण के लिए अपेक्षित स्थान: /System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub

अधिक जानकारी के लिए मूल रिपोर्ट की जांच करें।

CVE-2022-22616

इस बायपास में एक ज़िप फ़ाइल बनाई गई थी जिसमें एक एप्लिकेशन application.app/Contents से संकुचन शुरू कर रहा था न कि application.app से। इसलिए, क्वारंटाइन attr सभी फाइलों पर लागू किया गया था application.app/Contents लेकिन application.app पर नहीं, जिसे Gatekeeper चेक कर रहा था, इसलिए Gatekeeper को बायपास किया गया क्योंकि जब application.app को ट्रिगर किया गया तो इसमें क्वारंटाइन विशेषता नहीं थी।

zip -r test.app/Contents test.zip

Check the original report for more information.

CVE-2022-32910

यहां तक कि यदि घटक भिन्न हैं, तो इस सुरक्षा कमजोरी का शोषण पिछले वाले के समान है। इस मामले में, हम application.app/Contents से एक Apple Archive बनाएंगे ताकि application.app को Archive Utility द्वारा अनजिप करते समय क्वारंटाइन विशेषता न मिले।

aa archive -d test.app/Contents -o test.app.aar

Check the original report for more information.

CVE-2022-42821

ACL writeextattr का उपयोग किसी को भी फ़ाइल में विशेषता लिखने से रोकने के लिए किया जा सकता है:

touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'

इसके अलावा, AppleDouble फ़ाइल प्रारूप एक फ़ाइल को उसके ACEs सहित कॉपी करता है।

स्रोत कोड में यह देखना संभव है कि ACL पाठ प्रतिनिधित्व जो xattr के अंदर संग्रहीत है जिसे com.apple.acl.text कहा जाता है, उसे डिकंप्रेस की गई फ़ाइल में ACL के रूप में सेट किया जाएगा। इसलिए, यदि आपने एक एप्लिकेशन को AppleDouble फ़ाइल प्रारूप में एक ज़िप फ़ाइल में संकुचित किया है जिसमें एक ACL है जो अन्य xattrs को इसमें लिखने से रोकता है... तो क्वारंटाइन xattr एप्लिकेशन में सेट नहीं किया गया था:

chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
python3 -m http.server
# Download the zip from the browser and decompress it, the file should be without a quarantine xattr

अधिक जानकारी के लिए मूल रिपोर्ट देखें।

ध्यान दें कि इसे AppleArchives के साथ भी शोषित किया जा सकता है:

mkdir app
touch app/test
chmod +a "everyone deny write,writeattr,writeextattr" app/test
aa archive -d app -o test.aar

CVE-2023-27943

यह पाया गया कि Google Chrome डाउनलोड की गई फ़ाइलों के लिए क्वारंटाइन विशेषता सेट नहीं कर रहा था कुछ macOS आंतरिक समस्याओं के कारण।

CVE-2023-27951

AppleDouble फ़ाइल प्रारूप एक फ़ाइल के गुणों को एक अलग फ़ाइल में ._ से शुरू करके संग्रहीत करते हैं, यह macOS मशीनों के बीच फ़ाइल गुणों की कॉपी करने में मदद करता है। हालाँकि, यह देखा गया कि एक AppleDouble फ़ाइल को डिकंप्रेस करने के बाद, ._ से शुरू होने वाली फ़ाइल को क्वारंटाइन विशेषता नहीं दी गई।

mkdir test
echo a > test/a
echo b > test/b
echo ._a > test/._a
aa archive -d test/ -o test.aar

# If you downloaded the resulting test.aar and decompress it, the file test/._a won't have a quarantitne attribute

एक फ़ाइल बनाने में सक्षम होना जिसमें क्वारंटाइन विशेषता सेट नहीं होगी, यह गेटकीपर को बायपास करना संभव था। चाल यह थी कि एप्पलडबल नाम सम्मेलन का उपयोग करके एक DMG फ़ाइल एप्लिकेशन बनाना (इसे ._ से शुरू करना) और इस छिपी हुई फ़ाइल के लिए एक दृश्यमान फ़ाइल के रूप में एक सिम लिंक बनाना जिसमें क्वारंटाइन विशेषता नहीं हो। जब dmg फ़ाइल को निष्पादित किया जाता है, क्योंकि इसमें क्वारंटाइन विशेषता नहीं है, यह गेटकीपर को बायपास कर देगा।

# Create an app bundle with the backdoor an call it app.app

echo "[+] creating disk image with app"
hdiutil create -srcfolder app.app app.dmg

echo "[+] creating directory and files"
mkdir
mkdir -p s/app
cp app.dmg s/app/._app.dmg
ln -s ._app.dmg s/app/app.dmg

echo "[+] compressing files"
aa archive -d s/ -o app.aar

uchg (from this talk)

एक ऐप वाला डायरेक्टरी बनाएं।
ऐप में uchg जोड़ें।
ऐप को tar.gz फ़ाइल में संकुचित करें।
tar.gz फ़ाइल को एक पीड़ित को भेजें।
पीड़ित tar.gz फ़ाइल खोलता है और ऐप चलाता है।
Gatekeeper ऐप की जांच नहीं करता है।

Prevent Quarantine xattr

एक ".app" बंडल में यदि क्वारंटाइन xattr जोड़ा नहीं गया है, तो इसे निष्पादित करते समय Gatekeeper सक्रिय नहीं होगा।

PreviousmacOS Security Protections NextmacOS Launch/Environment Constraints & Trust Cache

Last updated 1 month ago