macOS - AMFI - AppleMobileFileIntegrity
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Skupia się na egzekwowaniu integralności kodu działającego w systemie, zapewniając logikę stojącą za weryfikacją podpisu kodu XNU. Może również sprawdzać uprawnienia i obsługiwać inne wrażliwe zadania, takie jak umożliwienie debugowania lub uzyskiwanie portów zadań.
Ponadto, w przypadku niektórych operacji, kext woli kontaktować się z działającym w przestrzeni użytkownika demonem /usr/libexec/amfid
. Ta relacja zaufania była nadużywana w kilku jailbreakach.
AMFI używa polityk MACF i rejestruje swoje haki w momencie uruchomienia. Ponadto, zapobieganie jego ładowaniu lub odładowaniu może wywołać panikę jądra. Istnieją jednak pewne argumenty rozruchowe, które pozwalają osłabić AMFI:
amfi_unrestricted_task_for_pid
: Pozwól na task_for_pid bez wymaganych uprawnień
amfi_allow_any_signature
: Pozwól na dowolny podpis kodu
cs_enforcement_disable
: Argument systemowy używany do wyłączenia egzekwowania podpisu kodu
amfi_prevent_old_entitled_platform_binaries
: Unieważnij binaria platformowe z uprawnieniami
amfi_get_out_of_my_way
: Całkowicie wyłącza amfi
Oto niektóre z polityk MACF, które rejestruje:
cred_check_label_update_execve:
Aktualizacja etykiety zostanie wykonana i zwróci 1
cred_label_associate
: Aktualizuje slot etykiety mac AMFI
cred_label_destroy
: Usuwa slot etykiety mac AMFI
cred_label_init
: Ustawia 0 w slocie etykiety mac AMFI
cred_label_update_execve
: Sprawdza uprawnienia procesu, aby zobaczyć, czy powinien mieć możliwość modyfikacji etykiet.
file_check_mmap
: Sprawdza, czy mmap uzyskuje pamięć i ustawia ją jako wykonywalną. W takim przypadku sprawdza, czy potrzebna jest walidacja biblioteki, a jeśli tak, wywołuje funkcję walidacji biblioteki.
file_check_library_validation
: Wywołuje funkcję walidacji biblioteki, która sprawdza między innymi, czy binaria platformowe ładują inne binaria platformowe lub czy proces i nowo załadowany plik mają ten sam TeamID. Niektóre uprawnienia również pozwalają na ładowanie dowolnej biblioteki.
policy_initbsd
: Ustawia zaufane klucze NVRAM
policy_syscall
: Sprawdza polityki DYLD, takie jak to, czy binaria mają nieograniczone segmenty, czy powinny zezwalać na zmienne środowiskowe... to jest również wywoływane, gdy proces jest uruchamiany za pomocą amfi_check_dyld_policy_self()
.
proc_check_inherit_ipc_ports
: Sprawdza, czy gdy proces wykonuje nową binarię, inne procesy z prawami SEND nad portem zadania procesu powinny je zachować, czy nie. Binaria platformowe są dozwolone, uprawnienie get-task-allow
to umożliwia, uprawnienia task_for_pid-allow
są dozwolone, a binaria z tym samym TeamID.
proc_check_expose_task
: egzekwuje uprawnienia
amfi_exc_action_check_exception_send
: Wiadomość o wyjątku jest wysyłana do debuggera
amfi_exc_action_label_associate & amfi_exc_action_label_copy/populate & amfi_exc_action_label_destroy & amfi_exc_action_label_init & amfi_exc_action_label_update
: Cykl życia etykiety podczas obsługi wyjątków (debugowanie)
proc_check_get_task
: Sprawdza uprawnienia, takie jak get-task-allow
, które pozwala innym procesom uzyskać porty zadań, oraz task_for_pid-allow
, które pozwala procesowi uzyskać porty zadań innych procesów. Jeśli żadne z tych nie jest spełnione, wywołuje amfid permitunrestricteddebugging
, aby sprawdzić, czy to dozwolone.
proc_check_mprotect
: Odrzuć, jeśli mprotect
jest wywoływane z flagą VM_PROT_TRUSTED
, co wskazuje, że region musi być traktowany tak, jakby miał ważny podpis kodu.
vnode_check_exec
: Wywoływane, gdy pliki wykonywalne są ładowane do pamięci i ustawia cs_hard | cs_kill
, co zabije proces, jeśli którakolwiek z stron stanie się nieważna
vnode_check_getextattr
: MacOS: Sprawdza com.apple.root.installed
i isVnodeQuarantined()
vnode_check_setextattr
: Jak get + com.apple.private.allow-bless i wewnętrzne uprawnienie równoważne instalatorowi
vnode_check_signature
: Kod, który wywołuje XNU, aby sprawdzić podpis kodu przy użyciu uprawnień, pamięci zaufania i amfid
proc_check_run_cs_invalid
: Przechwytuje wywołania ptrace()
(PT_ATTACH
i PT_TRACE_ME
). Sprawdza, czy którakolwiek z uprawnień get-task-allow
, run-invalid-allow
i run-unsigned-code
jest spełniona, a jeśli nie, sprawdza, czy debugowanie jest dozwolone.
proc_check_map_anon
: Jeśli mmap jest wywoływane z flagą MAP_JIT
, AMFI sprawdzi uprawnienie dynamic-codesigning
.
AMFI.kext
udostępnia również API dla innych rozszerzeń jądra, a jego zależności można znaleźć za pomocą:
To jest demon działający w trybie użytkownika, który AMFI.kext
wykorzysta do sprawdzania podpisów kodu w trybie użytkownika.
Aby AMFI.kext
mogło komunikować się z demonem, używa wiadomości mach przez port HOST_AMFID_PORT
, który jest specjalnym portem 18
.
Należy zauważyć, że w macOS nie jest już możliwe, aby procesy root przejmowały specjalne porty, ponieważ są one chronione przez SIP
, a tylko launchd może je uzyskać. W iOS sprawdzane jest, czy proces wysyłający odpowiedź ma twardo zakodowany CDHash amfid
.
Można zobaczyć, kiedy amfid
jest proszony o sprawdzenie binarnego pliku oraz jego odpowiedź, debugując go i ustawiając punkt przerwania w mach_msg
.
Gdy wiadomość jest odbierana przez specjalny port, MIG jest używane do wysyłania każdej funkcji do funkcji, którą wywołuje. Główne funkcje zostały odwrócone i wyjaśnione w książce.
Profil provisioningowy może być używany do podpisywania kodu. Istnieją profile Developer, które mogą być używane do podpisywania kodu i testowania go, oraz profile Enterprise, które mogą być używane na wszystkich urządzeniach.
Po przesłaniu aplikacji do Apple Store, jeśli zostanie zatwierdzona, jest podpisywana przez Apple, a profil provisioningowy nie jest już potrzebny.
Profil zazwyczaj używa rozszerzenia .mobileprovision
lub .provisionprofile
i można go zrzucić za pomocą:
Chociaż czasami nazywane certyfikowanymi, te profile provisioningowe mają więcej niż certyfikat:
AppIDName: Identyfikator aplikacji
AppleInternalProfile: Określa to jako profil wewnętrzny Apple
ApplicationIdentifierPrefix: Dodawany do AppIDName (taki sam jak TeamIdentifier)
CreationDate: Data w formacie YYYY-MM-DDTHH:mm:ssZ
DeveloperCertificates: Tablica (zwykle jednego) certyfikatu(ów), zakodowanych jako dane Base64
Entitlements: Uprawnienia dozwolone z uprawnieniami dla tego profilu
ExpirationDate: Data wygaśnięcia w formacie YYYY-MM-DDTHH:mm:ssZ
Name: Nazwa aplikacji, taka sama jak AppIDName
ProvisionedDevices: Tablica (dla certyfikatów dewelopera) UDID, dla których ten profil jest ważny
ProvisionsAllDevices: Wartość logiczna (prawda dla certyfikatów korporacyjnych)
TeamIdentifier: Tablica (zwykle jednego) ciągu alfanumerycznego używanego do identyfikacji dewelopera w celach interakcji między aplikacjami
TeamName: Nazwa czytelna dla człowieka używana do identyfikacji dewelopera
TimeToLive: Ważność (w dniach) certyfikatu
UUID: Uniwersalny unikalny identyfikator dla tego profilu
Version: Obecnie ustawione na 1
Zauważ, że wpis uprawnień będzie zawierał ograniczony zestaw uprawnień, a profil provisioningowy będzie mógł przyznać tylko te konkretne uprawnienia, aby zapobiec przyznawaniu prywatnych uprawnień Apple.
Zauważ, że profile zazwyczaj znajdują się w /var/MobileDeviceProvisioningProfiles
i można je sprawdzić za pomocą security cms -D -i /path/to/profile
To zewnętrzna biblioteka, którą amfid
wywołuje, aby zapytać, czy powinien coś zezwolić, czy nie. Historycznie była nadużywana w jailbreakingu poprzez uruchamianie jej z backdoorem, co pozwalało na wszystko.
W macOS znajduje się w MobileDevice.framework
.
iOS AMFI utrzymuje listę znanych hashy, które są podpisane ad-hoc, nazywaną Trust Cache i znajdującą się w sekcji __TEXT.__const
kextu. Zauważ, że w bardzo specyficznych i wrażliwych operacjach możliwe jest rozszerzenie tej Trust Cache za pomocą zewnętrznego pliku.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)