macOS Bypassing Firewalls
発見されたテクニック
以下のテクニックは、一部の macOS ファイアウォールアプリで機能することが確認されました。
ホワイトリスト名の悪用
たとえば、マルウェアを
launchd
のようなよく知られた macOS プロセスの名前で呼び出す
シンセティッククリック
ファイアウォールがユーザーに許可を求める場合、マルウェアに許可をクリックさせる
Apple 署名のバイナリの使用
curl
のようなものだけでなく、whois
なども
よく知られた Apple ドメイン
ファイアウォールは、apple.com
や icloud.com
のようなよく知られた Apple ドメインへの接続を許可している可能性があります。そして iCloud は C2 として使用されるかもしれません。
一般的なバイパス
ファイアウォールをバイパスしようとするいくつかのアイデア
許可されたトラフィックを確認する
許可されたトラフィックを知ることで、潜在的にホワイトリストに登録されているドメインやそれにアクセスできるアプリケーションを特定できます
DNSの乱用
DNSの解決は、おそらくDNSサーバーに連絡を取ることが許可されるであろう**mdnsreponder
**署名済みアプリケーションを介して行われます。
ブラウザアプリを介して
oascript
Google Chrome
Firefox
Safari
プロセスインジェクションを介して
プロセスにコードをインジェクトできれば、任意のサーバに接続することが許可されているプロセスにコードをインジェクトすることでファイアウォールの保護をバイパスできます:
参考文献
Last updated