macOS Security Protections
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Gatekeeper è solitamente usato per riferirsi alla combinazione di Quarantine + Gatekeeper + XProtect, 3 moduli di sicurezza di macOS che cercheranno di prevenire gli utenti dall'eseguire software potenzialmente dannoso scaricato.
More information in:
macOS Gatekeeper / Quarantine / XProtectLa Sandbox di macOS limita le applicazioni in esecuzione all'interno della sandbox alle azioni consentite specificate nel profilo Sandbox con cui l'app è in esecuzione. Questo aiuta a garantire che l'applicazione accederà solo alle risorse previste.
macOS SandboxTCC (Transparency, Consent, and Control) è un framework di sicurezza. È progettato per gestire le autorizzazioni delle applicazioni, regolando specificamente il loro accesso a funzionalità sensibili. Questo include elementi come servizi di localizzazione, contatti, foto, microfono, fotocamera, accessibilità e accesso completo al disco. TCC garantisce che le app possano accedere a queste funzionalità solo dopo aver ottenuto il consenso esplicito dell'utente, rafforzando così la privacy e il controllo sui dati personali.
macOS TCCI vincoli di avvio in macOS sono una funzionalità di sicurezza per regolare l'inizio dei processi definendo chi può avviare un processo, come e da dove. Introdotti in macOS Ventura, categorizzano i binari di sistema in categorie di vincolo all'interno di un trust cache. Ogni binario eseguibile ha regole stabilite per il suo avvio, inclusi vincoli self, parent e responsible. Estesi alle app di terze parti come Environment Constraints in macOS Sonoma, queste funzionalità aiutano a mitigare potenziali sfruttamenti del sistema regolando le condizioni di avvio dei processi.
macOS Launch/Environment Constraints & Trust CacheIl Malware Removal Tool (MRT) è un'altra parte dell'infrastruttura di sicurezza di macOS. Come suggerisce il nome, la funzione principale di MRT è rimuovere malware conosciuti da sistemi infetti.
Una volta che il malware viene rilevato su un Mac (sia da XProtect che da altri mezzi), MRT può essere utilizzato per rimuovere automaticamente il malware. MRT opera silenziosamente in background e di solito viene eseguito ogni volta che il sistema viene aggiornato o quando viene scaricata una nuova definizione di malware (sembra che le regole che MRT ha per rilevare il malware siano all'interno del binario).
Sebbene sia XProtect che MRT facciano parte delle misure di sicurezza di macOS, svolgono funzioni diverse:
XProtect è uno strumento preventivo. Controlla i file mentre vengono scaricati (tramite determinate applicazioni) e, se rileva tipi noti di malware, impedisce l'apertura del file, prevenendo così l'infezione del sistema in primo luogo.
MRT, d'altra parte, è uno strumento reattivo. Opera dopo che il malware è stato rilevato su un sistema, con l'obiettivo di rimuovere il software offensivo per ripulire il sistema.
L'applicazione MRT si trova in /Library/Apple/System/Library/CoreServices/MRT.app
macOS ora avvisa ogni volta che uno strumento utilizza una tecnica ben nota per persistere nell'esecuzione del codice (come Login Items, Daemons...), in modo che l'utente sappia meglio quale software sta persistendo.
Questo funziona con un daemon situato in /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/backgroundtaskmanagementd e l'agent in /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Support/BackgroundTaskManagementAgent.app
Il modo in cui backgroundtaskmanagementd sa che qualcosa è installato in una cartella persistente è ottenendo gli FSEvents e creando alcuni handler per quelli.
Inoltre, c'è un file plist che contiene applicazioni ben note che persistono frequentemente mantenuto da Apple situato in: /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/attributions.plist
È possibile enumerare tutti gli elementi di background configurati utilizzando lo strumento cli di Apple:
Inoltre, è anche possibile elencare queste informazioni con DumpBTM.
Queste informazioni vengono memorizzate in /private/var/db/com.apple.backgroundtaskmanagement/BackgroundItems-v4.btm e il Terminale necessita di FDA.
Quando viene trovata una nuova persistenza, si verifica un evento di tipo ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD. Quindi, qualsiasi modo per prevenire che questo evento venga inviato o che l'agente avvisi l'utente aiuterà un attaccante a bypassare BTM.
Ripristinare il database: Eseguire il seguente comando ripristinerà il database (dovrebbe ricostruirlo da zero), tuttavia, per qualche motivo, dopo aver eseguito questo, nessuna nuova persistenza verrà segnalata fino a quando il sistema non verrà riavviato.
È richiesto root.
Ferma l'Agente: È possibile inviare un segnale di arresto all'agente in modo che non avvisi l'utente quando vengono trovate nuove rilevazioni.
Bug: Se il processo che ha creato la persistenza esiste rapidamente dopo di esso, il demone cercherà di ottenere informazioni su di esso, fallirà e non sarà in grado di inviare l'evento che indica che una nuova cosa sta persistendo.
Riferimenti e ulteriori informazioni su BTM:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
