macOS Security Protections
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Gatekeeper kwa kawaida hutumiwa kurejelea mchanganyiko wa Quarantine + Gatekeeper + XProtect, moduli 3 za usalama za macOS ambazo zitajaribu kuzuia watumiaji kutekeleza programu mbaya zinazoweza kupakuliwa.
More information in:
macOS Gatekeeper / Quarantine / XProtectMacOS Sandbox inapunguza programu zinazotembea ndani ya sandbox kwa vitendo vilivyokubaliwa vilivyobainishwa katika profaili ya Sandbox ambayo programu inatumia. Hii husaidia kuhakikisha kwamba programu itakuwa ikipata rasilimali zinazotarajiwa tu.
macOS SandboxTCC (Transparency, Consent, and Control) ni mfumo wa usalama. Imeundwa ili kusimamia ruhusa za programu, hasa kwa kudhibiti ufikiaji wao kwa vipengele nyeti. Hii inajumuisha vipengele kama huduma za eneo, mawasiliano, picha, kipaza sauti, kamera, upatikanaji, na ufikiaji wa diski nzima. TCC inahakikisha kwamba programu zinaweza kufikia vipengele hivi tu baada ya kupata idhini wazi ya mtumiaji, hivyo kuimarisha faragha na udhibiti juu ya data binafsi.
macOS TCCMikakati ya uzinduzi katika macOS ni kipengele cha usalama ili kudhibiti uzinduzi wa mchakato kwa kufafanua nani anaweza kuzindua mchakato, vipi, na kutoka wapi. Imeanzishwa katika macOS Ventura, inagawanya binaries za mfumo katika makundi ya vizuizi ndani ya trust cache. Kila binary inayoweza kutekelezwa ina kanuni zilizowekwa kwa uzinduzi wake, ikiwa ni pamoja na mwenyewe, mzazi, na mipaka ya kuwajibika. Imeongezwa kwa programu za wahusika wengine kama Environment Constraints katika macOS Sonoma, vipengele hivi husaidia kupunguza uwezekano wa matumizi mabaya ya mfumo kwa kudhibiti masharti ya uzinduzi wa mchakato.
macOS Launch/Environment Constraints & Trust CacheZana ya Kuondoa Malware (MRT) ni sehemu nyingine ya miundombinu ya usalama ya macOS. Kama jina linavyopendekeza, kazi kuu ya MRT ni kuondoa malware inayojulikana kutoka kwa mifumo iliyoathirika.
Mara tu malware inapogundulika kwenye Mac (ama na XProtect au kwa njia nyingine), MRT inaweza kutumika kuondoa malware hiyo kiotomatiki. MRT inafanya kazi kimya kimya nyuma ya pazia na kawaida inafanya kazi kila wakati mfumo unaposasishwa au wakati ufafanuzi mpya wa malware unapopakuliwa (inaonekana kama kanuni ambazo MRT inahitaji kugundua malware ziko ndani ya binary).
Ingawa XProtect na MRT ni sehemu ya hatua za usalama za macOS, zinafanya kazi tofauti:
XProtect ni zana ya kuzuia. Inafanya ukaguzi wa faili wakati zinapopakuliwa (kupitia programu fulani), na ikiwa inagundua aina yoyote ya malware inayojulikana, in azuia faili kufunguliwa, hivyo kuzuia malware kuathiri mfumo wako kwa mara ya kwanza.
MRT, kwa upande mwingine, ni zana ya kujibu. Inafanya kazi baada ya malware kugundulika kwenye mfumo, kwa lengo la kuondoa programu inayosababisha tatizo ili kusafisha mfumo.
Programu ya MRT iko katika /Library/Apple/System/Library/CoreServices/MRT.app
macOS sasa inaarifu kila wakati zana inapotumia mbinu inayojulikana ya kudumisha utekelezaji wa msimbo (kama vile Vitu vya Kuingia, Daemons...), hivyo mtumiaji anajua vizuri ni programu gani inayoendelea.
Hii inafanya kazi na daemon iliyoko katika /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/backgroundtaskmanagementd
na agent katika /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Support/BackgroundTaskManagementAgent.app
Njia ambayo backgroundtaskmanagementd
inajua kitu kimewekwa katika folda ya kudumu ni kwa kupata FSEvents na kuunda wajibu kwa ajili yao.
Zaidi ya hayo, kuna faili ya plist ambayo ina programu zinazojulikana ambazo mara kwa mara zinadumishwa na apple iliyoko katika: /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/attributions.plist
Inawezekana kuhesabu yote vitu vya nyuma vilivyowekwa vinavyotumia zana ya Apple cli:
Zaidi ya hayo, inawezekana pia kuorodhesha habari hii kwa kutumia DumpBTM.
Hii habari inahifadhiwa katika /private/var/db/com.apple.backgroundtaskmanagement/BackgroundItems-v4.btm
na Terminal inahitaji FDA.
Wakati uvumbuzi mpya wa kudumu unapatikana, tukio la aina ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD
linatokea. Hivyo, njia yoyote ya kuzuia tukio hili kutumwa au wakala kuonya mtumiaji itasaidia mshambuliaji kuepuka BTM.
Kurekebisha hifadhidata: Kukimbia amri ifuatayo kutarekebisha hifadhidata (inapaswa kujenga upya kutoka mwanzo), hata hivyo, kwa sababu fulani, baada ya kukimbia hii, hakuna uvumbuzi mpya utakaonyeshwa hadi mfumo upya uzinduliwe.
root inahitajika.
Stop the Agent: Inawezekana kutuma ishara ya kusitisha kwa wakala ili isiwe inamwonya mtumiaji wakati kugundua mpya kunapatikana.
Bug: Ikiwa mchakato ulioanzisha kudumu upo haraka baada yake, daemon itajaribu kupata taarifa kuhusu hiyo, itashindwa, na haitaweza kutuma tukio linaloashiria kwamba kitu kipya kinadumu.
Marejeo na maelezo zaidi kuhusu BTM:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)