macOS Apps - Inspecting, debugging and Fuzzing
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Možete preuzeti disarm отсуда.
Možete preuzeti jtool2 ovde ili ga instalirati pomoću brew.
jtool je zastareo u korist disarm
Codesign se može naći u macOS, dok se ldid može naći u iOS
SuspiciousPackage је алат користан за инспекцију .pkg фајлова (инсталатера) и за преглед садржаја пре инсталирања.
Ови инсталатери имају preinstall и postinstall bash скрипте које аутори малвера обично злоупотребљавају да постигну упорност малвера.
Овај алат омогућава монтирање Apple слика дискова (.dmg) ради инспекције пре покретања било чега:
It will be mounted in /Volumes
Proverite visoku entropiju
Proverite stringove (ako gotovo da nema razumljivih stringova, pakovano)
UPX pakera za MacOS generiše sekciju pod nazivom "__XHDR"
Napomena da programi napisani u Objective-C zadržavaju svoje deklaracije klasa kada se kompajluju u Mach-O binarne datoteke. Takve deklaracije klasa uključuju ime i tip:
Definisani interfejsi
Metode interfejsa
Instance varijable interfejsa
Definisani protokoli
Napomena da ova imena mogu biti obfuskovana kako bi se otežalo obrnuto inženjerstvo binarne datoteke.
Kada se funkcija poziva u binarnoj datoteci koja koristi Objective-C, kompajlirani kod umesto pozivanja te funkcije, poziva objc_msgSend. Koji će pozvati konačnu funkciju:
Parametri koje ova funkcija očekuje su:
Prvi parametar (self) je "pokazivač koji pokazuje na instancu klase koja treba da primi poruku". Ili jednostavnije rečeno, to je objekat na kojem se metoda poziva. Ako je metoda klasa metoda, ovo će biti instanca objekta klase (kao celina), dok će za instancu metodu, self pokazivati na instanciranu instancu klase kao objekat.
Drugi parametar, (op), je "selektor metode koja obrađuje poruku". Ponovo, jednostavnije rečeno, ovo je samo ime metode.
Preostali parametri su bilo koji vrednosti koje su potrebne metodi (op).
Pogledajte kako da dobijete ove informacije lako sa lldb u ARM64 na ovoj stranici:
x64:
Argument | Register | (za) objc_msgSend |
1st argument | rdi | self: objekat na kojem se metoda poziva |
2nd argument | rsi | op: ime metode |
3rd argument | rdx | 1st argument to the method |
4th argument | rcx | 2nd argument to the method |
5th argument | r8 | 3rd argument to the method |
6th argument | r9 | 4th argument to the method |
7th+ argument | rsp+ (na steku) | 5th+ argument to the method |
Dynadump je alat za class-dump Objective-C binarnih datoteka. Github specificira dylibs, ali ovo takođe funkcioniše sa izvršnim datotekama.
U vreme pisanja, ovo je trenutno ono što najbolje funkcioniše.
class-dump je originalni alat koji generiše deklaracije za klase, kategorije i protokole u ObjetiveC formatiranom kodu.
Stari je i neodržavan, tako da verovatno neće raditi ispravno.
iCDump je moderan i multiplatformski Objective-C class dump. U poređenju sa postojećim alatima, iCDump može da radi nezavisno od Apple ekosistema i izlaže Python vezivanja.
Sa Swift binarnim datotekama, pošto postoji kompatibilnost sa Objective-C, ponekad možete izvući deklaracije koristeći class-dump ali ne uvek.
Sa jtool -l ili otool -l komandama moguće je pronaći nekoliko sekcija koje počinju sa __swift5 prefiksom:
Možete pronaći dodatne informacije o informacijama koje se čuvaju u ovoj sekciji u ovom blog postu.
Pored toga, Swift binarni fajlovi mogu imati simbole (na primer, biblioteke treba da čuvaju simbole kako bi se njihove funkcije mogle pozivati). Simboli obično imaju informacije o imenu funkcije i atributima na ružan način, tako da su veoma korisni i postoje "demangleri" koji mogu dobiti originalno ime:
Napomena da je za debagovanje binarnih datoteka, SIP potrebno onemogućiti (csrutil disable ili csrutil enable --without debug) ili kopirati binarne datoteke u privremenu fasciklu i ukloniti potpis sa codesign --remove-signature <binary-path> ili omogućiti debagovanje binarne datoteke (možete koristiti ovaj skript)
Napomena da je za instrumentaciju sistemskih binarnih datoteka, (kao što je cloudconfigurationd) na macOS-u, SIP potrebno onemogućiti (samo uklanjanje potpisa neće raditi).
macOS izlaže neke zanimljive API-je koji daju informacije o procesima:
proc_info: Ovo je glavni API koji daje mnogo informacija o svakom procesu. Potrebno je biti root da biste dobili informacije o drugim procesima, ali vam nisu potrebna posebna ovlašćenja ili mach portovi.
libsysmon.dylib: Omogućava dobijanje informacija o procesima putem XPC izloženih funkcija, međutim, potrebno je imati ovlašćenje com.apple.sysmond.client.
Stackshotting je tehnika koja se koristi za hvatanje stanja procesa, uključujući pozivne stekove svih aktivnih niti. Ovo je posebno korisno za debagovanje, analizu performansi i razumevanje ponašanja sistema u određenom trenutku. Na iOS-u i macOS-u, stackshotting se može izvesti korišćenjem nekoliko alata i metoda kao što su alati sample i spindump.
Ovaj alat (/usr/bini/ysdiagnose) u suštini prikuplja mnogo informacija sa vašeg računara izvršavajući desetine različitih komandi kao što su ps, zprint...
Mora se pokrenuti kao root i demon /usr/libexec/sysdiagnosed ima veoma zanimljiva ovlašćenja kao što su com.apple.system-task-ports i get-task-allow.
Njegov plist se nalazi u /System/Library/LaunchDaemons/com.apple.sysdiagnose.plist koji deklarira 3 MachServices:
com.apple.sysdiagnose.CacheDelete: Briše stare arhive u /var/rmp
com.apple.sysdiagnose.kernel.ipc: Poseban port 23 (kernel)
com.apple.sysdiagnose.service.xpc: Interfejs korisničkog moda kroz Libsysdiagnose Obj-C klasu. Tri argumenta u rečniku mogu biti prosleđena (compress, display, run)
MacOS generiše mnogo logova koji mogu biti veoma korisni kada se pokreće aplikacija koja pokušava da razume šta radi.
Štaviše, postoje neki logovi koji će sadržati oznaku <private> da sakriju neke korisničke ili računarske identifikacione informacije. Međutim, moguće je instalirati sertifikat da bi se otkrile ove informacije. Pratite objašnjenja ovde.
U levom panelu hoppera moguće je videti simbole (Labels) binarne datoteke, listu procedura i funkcija (Proc) i stringove (Str). To nisu svi stringovi, već oni definisani u nekoliko delova Mac-O datoteke (kao što su cstring ili objc_methname).
U srednjem panelu možete videti disasemblirani kod. I možete ga videti kao sirov disasembler, kao graf, kao dekompajliran i kao binarni klikom na odgovarajuću ikonu:
Desnim klikom na objekat koda možete videti reference na/iz tog objekta ili čak promeniti njegovo ime (ovo ne funkcioniše u dekompajliranom pseudokodu):
Štaviše, u donjem srednjem delu možete pisati python komande.
U desnom panelu možete videti zanimljive informacije kao što su istorija navigacije (tako da znate kako ste došli do trenutne situacije), call graf gde možete videti sve funkcije koje pozivaju ovu funkciju i sve funkcije koje ova funkcija poziva, i informacije o lokalnim varijablama.
Omogućava korisnicima pristup aplikacijama na ekstremno niskom nivou i pruža način za korisnike da prate programe i čak promene njihov tok izvršenja. Dtrace koristi probes koje su postavljene širom kernela i nalaze se na mestima kao što su početak i kraj sistemskih poziva.
DTrace koristi funkciju dtrace_probe_create za kreiranje probe za svaki sistemski poziv. Ove probe mogu biti aktivirane u ulaznoj i izlaznoj tački svakog sistemskog poziva. Interakcija sa DTrace se odvija kroz /dev/dtrace koji je dostupan samo za root korisnika.
Da biste omogućili Dtrace bez potpunog onemogućavanja SIP zaštite, možete izvršiti u režimu oporavka: csrutil enable --without dtrace
Takođe možete dtrace ili dtruss binarne datoteke koje ste sami kompajlirali.
Dostupne probe dtrace mogu se dobiti sa:
Ime probe se sastoji od četiri dela: provajder, modul, funkcija i ime (fbt:mach_kernel:ptrace:entry). Ako ne navedete neki deo imena, Dtrace će taj deo primeniti kao džoker.
Da bismo konfigurisali DTrace da aktivira probe i da odredimo koje akcije da izvrši kada se aktiviraju, moraćemo da koristimo D jezik.
Detaljnije objašnjenje i više primera možete pronaći na https://illumos.org/books/dtrace/chp-intro.html
Pokrenite man -k dtrace da biste prikazali dostupne DTrace skripte. Primer: sudo dtruss -n binary
U liniji
скрипт
To je funkcija za praćenje jezgra. Dokumentovani kodovi se mogu naći u /usr/share/misc/trace.codes.
Alati kao što su latency, sc_usage, fs_usage i trace koriste je interno.
Za interakciju sa kdebug koristi se sysctl preko kern.kdebug imenskog prostora, a MIB-ovi koji se mogu koristiti nalaze se u sys/sysctl.h sa funkcijama implementiranim u bsd/kern/kdebug.c.
Da bi se interagovalo sa kdebug-om sa prilagođenim klijentom, obično su to koraci:
Uklonite postojeće postavke sa KERN_KDSETREMOVE
Postavite praćenje sa KERN_KDSETBUF i KERN_KDSETUP
Koristite KERN_KDGETBUF da dobijete broj unosa u baferu
Izvucite svog klijenta iz praćenja sa KERN_KDPINDEX
Omogućite praćenje sa KERN_KDENABLE
Pročitajte bafer pozivajući KERN_KDREADTR
Da biste povezali svaku nit sa njenim procesom, pozovite KERN_KDTHRMAP.
Da biste dobili ove informacije, moguće je koristiti Apple alat trace ili prilagođeni alat kDebugView (kdv).
Napomena: Kdebug je dostupan samo za 1 korisnika u isto vreme. Dakle, samo jedan alat sa k-debug podrškom može se izvršavati u isto vreme.
ktrace_* API-ji dolaze iz libktrace.dylib koji obavijaju one iz Kdebug. Tada klijent može jednostavno pozvati ktrace_session_create i ktrace_events_[single/class] da postavi povratne pozive na specifične kodove i zatim ga pokrenuti sa ktrace_start.
Možete koristiti ovo čak i sa SIP aktiviranim
Možete koristiti kao klijente alat ktrace:
Or tailspin.
Ovo se koristi za profilisanje na nivou kernela i izgrađeno je koristeći Kdebug pozive.
U suštini, globalna promenljiva kernel_debug_active se proverava i ako je postavljena, poziva kperf_kdebug_handler sa Kdebug kodom i adresom kernel okvira koji poziva. Ako se Kdebug kod poklapa sa jednim od odabranih, dobijaju se "akcije" konfigurirane kao bitmap (proverite osfmk/kperf/action.h za opcije).
Kperf takođe ima sysctl MIB tabelu: (kao root) sysctl kperf. Ovi kodovi se mogu naći u osfmk/kperf/kperfbsd.c.
Pored toga, deo funkcionalnosti Kperfa se nalazi u kpc, koji pruža informacije o brojačima performansi mašine.
ProcessMonitor je veoma koristan alat za proveru akcija vezanih za procese koje proces izvršava (na primer, praćenje koje nove procese proces kreira).
SpriteTree je alat koji štampa odnose između procesa.
Morate pratiti vaš mac sa komandom kao sudo eslogger fork exec rename create > cap.json (terminal koji pokreće ovo zahteva FDA). A zatim možete učitati json u ovaj alat da biste videli sve odnose:
FileMonitor omogućava praćenje događaja vezanih za fajlove (kao što su kreiranje, modifikacije i brisanja) pružajući detaljne informacije o takvim događajima.
Crescendo je GUI alat sa izgledom i osećajem koji korisnici Windows-a možda poznaju iz Microsoft Sysinternal’s Procmon. Ovaj alat omogućava snimanje raznih tipova događaja koji se mogu započeti i zaustaviti, omogućava filtriranje ovih događaja po kategorijama kao što su fajl, proces, mreža, itd., i pruža funkcionalnost za čuvanje snimljenih događaja u json formatu.
Apple Instruments su deo Xcode-ovih razvojnog alata – koriste se za praćenje performansi aplikacija, identifikaciju curenja memorije i praćenje aktivnosti na datotečnom sistemu.
Omogućava praćenje akcija koje izvode procesi:
Taskexplorer je koristan za pregled biblioteka koje koristi binarni fajl, fajlova koje koristi i mrežnih konekcija. Takođe proverava binarne procese protiv virustotal i prikazuje informacije o binarnom fajlu.
U ovom blog postu možete pronaći primer o tome kako da debug-ujete pokrenuti daemon koji koristi PT_DENY_ATTACH da spreči debagovanje čak i ako je SIP bio onemogućen.
lldb je de facto alat za macOS binarno debugovanje.
Možete postaviti intel varijantu kada koristite lldb kreiranjem datoteke pod nazivom .lldbinit u vašem domaćem folderu sa sledećom linijom:
Unutar lldb, dump-ujte proces sa process save-core
(lldb) Komanda | Opis |
run (r) | Pokreće izvršavanje, koje će se nastaviti bez prekida dok se ne dostigne tačka prekida ili proces ne završi. |
process launch --stop-at-entry | Pokreće izvršavanje zaustavljajući se na ulaznoj tački |
continue (c) | Nastavlja izvršavanje debagovanog procesa. |
nexti (n / ni) | Izvršava sledeću instrukciju. Ova komanda će preskočiti pozive funkcija. |
stepi (s / si) | Izvršava sledeću instrukciju. Za razliku od nexti komande, ova komanda će ući u pozive funkcija. |
finish (f) | Izvršava ostatak instrukcija u trenutnoj funkciji (“frame”) i vraća se i zaustavlja. |
control + c | Pauzira izvršavanje. Ako je proces pokrenut (r) ili nastavljen (c), ovo će uzrokovati da proces stane ...gde god trenutno izvršava. |
breakpoint (b) |
breakpoint delete <num> |
help | help breakpoint #Dobijte pomoć za komandu tačke prekida help memory write #Dobijte pomoć za pisanje u memoriju |
reg | |
x/s <reg/adresa u memoriji> | Prikazuje memoriju kao string koji se završava nulom. |
x/i <reg/adresa u memoriji> | Prikazuje memoriju kao instrukciju asemblera. |
x/b <reg/adresa u memoriji> | Prikazuje memoriju kao bajt. |
print object (po) | Ovo će odštampati objekat na koji se poziva parametar po $raw
Napomena da većina Apple-ovih Objective-C API-ja ili metoda vraća objekte, i stoga bi trebala biti prikazana putem komande “print object” (po). Ako po ne daje smislen izlaz, koristite |
memory | memory read 0x000.... memory read $x0+0xf2a memory write 0x100600000 -s 4 0x41414141 #Upiši AAAA na tu adresu memory write -f s $rip+0x11f+7 "AAAA" #Upiši AAAA na adresu |
disassembly | dis #Disas trenutnu funkciju dis -n <funcname> #Disas funkciju dis -n <funcname> -b <basename> #Disas funkciju dis -c 6 #Disas 6 linija dis -c 0x100003764 -e 0x100003768 # Od jedne adrese do druge dis -p -c 4 # Počni u trenutnoj adresi disasemblerajući |
parray | parray 3 (char **)$x1 # Proveri niz od 3 komponente u x1 registru |
image dump sections | Štampa mapu trenutne memorije procesa |
image dump symtab <library> |
|
Kada pozivate funkciju objc_sendMsg, registri rsi sadrži ime metode kao string koji se završava nulom (“C”). Da biste odštampali ime putem lldb, uradite:
(lldb) x/s $rsi: 0x1000f1576: "startMiningWithPort:password:coreCount:slowMemory:currency:"
(lldb) print (char*)$rsi:
(char *) $1 = 0x00000001000f1576 "startMiningWithPort:password:coreCount:slowMemory:currency:"
(lldb) reg read $rsi: rsi = 0x00000001000f1576 "startMiningWithPort:password:coreCount:slowMemory:currency:"
Komanda sysctl hw.model vraća "Mac" kada je host MacOS, ali nešto drugo kada je VM.
Igrajući se sa vrednostima hw.logicalcpu i hw.physicalcpu, neki malveri pokušavaju da detektuju da li je u pitanju VM.
Neki malveri takođe mogu detektovati da li je mašina VMware na osnovu MAC adrese (00:50:56).
Takođe je moguće otkriti da li se proces debaguje jednostavnim kodom kao što je:
if(P_TRACED == (info.kp_proc.p_flag & P_TRACED)){ //proces se debaguje }
Takođe može pozvati ptrace sistemski poziv sa PT_DENY_ATTACH flagom. Ovo sprečava debaguger da se priključi i prati.
Možete proveriti da li je funkcija sysctl ili ptrace importovana (ali malver bi mogao da je importuje dinamički)
Kao što je navedeno u ovom izveštaju, “Defeating Anti-Debug Techniques: macOS ptrace variants” : “Poruka Process # exited with status = 45 (0x0000002d) obično je znak da je cilj debagovanja u upotrebi PT_DENY_ATTACH”
Core dumps se kreiraju ako:
kern.coredump sysctl je postavljen na 1 (po defaultu)
Ako proces nije suid/sgid ili kern.sugid_coredump je 1 (po defaultu je 0)
AS_CORE limit dozvoljava operaciju. Moguće je suprimirati kreiranje core dump-ova pozivom ulimit -c 0 i ponovo ih omogućiti sa ulimit -c unlimited.
U tim slučajevima, core dump se generiše prema kern.corefile sysctl i obično se čuva u /cores/core/.%P.
ReportCrash analizira procese koji se ruše i čuva izveštaj o padu na disk. Izveštaj o padu sadrži informacije koje mogu pomoći programeru da dijagnostikuje uzrok pada.
Za aplikacije i druge procese koji se izvršavaju u kontekstu per-user launchd, ReportCrash se pokreće kao LaunchAgent i čuva izveštaje o padu u korisnikovom ~/Library/Logs/DiagnosticReports/
Za demone, druge procese koji se izvršavaju u kontekstu sistemskog launchd i druge privilegovane procese, ReportCrash se pokreće kao LaunchDaemon i čuva izveštaje o padu u sistemskom /Library/Logs/DiagnosticReports
Ako ste zabrinuti zbog izveštaja o padu koji se šalju Apple-u, možete ih onemogućiti. Ako ne, izveštaji o padu mogu biti korisni za utvrđivanje kako je server pao.
Dok fuzzing-a na MacOS-u, važno je ne dozvoliti Mac-u da zaspi:
systemsetup -setsleep Never
pmset, System Preferences
Ako fuzzing-ujete putem SSH veze, važno je osigurati da sesija ne isključi. Tako da promenite sshd_config datoteku sa:
TCPKeepAlive Yes
ClientAliveInterval 0
ClientAliveCountMax 0
Pogledajte sledeću stranicu da biste saznali kako možete pronaći koja aplikacija je odgovorna za rukovanje određenim shemama ili protokolima:
macOS File Extension & URL scheme app handlersOvo je zanimljivo za pronalaženje procesa koji upravljaju mrežnim podacima:
Ili koristite netstat ili lsof
Radi za CLI alate
Prosto radi sa macOS GUI alatima. Imajte na umu da neki macOS aplikacije imaju specifične zahteve kao što su jedinstvena imena datoteka, prava ekstenzija, potreba da se datoteke čitaju iz sandbox-a (~/Library/Containers/com.apple.Safari/Data)...
Neki primeri:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
