macOS Security Protections
Last updated
Last updated
AWS Hacking öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Ekip Uzmanı (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Ekip Uzmanı (GRTE)
Gatekeeper genellikle Quarantine + Gatekeeper + XProtect kombinasyonunu ifade etmek için kullanılır; bu, kullanıcıların potansiyel olarak zararlı yazılımları çalıştırmalarını engellemeye çalışan 3 macOS güvenlik modülüdür.
Daha fazla bilgi için:
MacOS Sandbox, uygulamaların sandbox içinde yalnızca uygulamanın çalıştığı Sandbox profilinde belirtilen izin verilen eylemlerle sınırlı olmasını sağlar. Bu, uygulamanın yalnızca beklenen kaynaklara erişmesini sağlamaya yardımcı olur.
TCC (Şeffaflık, Onay ve Kontrol) bir güvenlik çerçevesidir. Uygulamaların izinlerini yönetmek için tasarlanmıştır, özellikle de hassas özelliklere erişimlerini düzenleyerek. Bu, konum hizmetleri, kişiler, fotoğraflar, mikrofon, kamera, erişilebilirlik ve tam disk erişimi gibi unsurları içerir. TCC, uygulamaların bu özelliklere yalnızca açık kullanıcı onayı aldıktan sonra erişebileceğini garanti ederek, kişisel veriler üzerindeki gizliliği ve kontrolü artırır.
macOS'taki başlatma kısıtlamaları, bir sürecin başlatılmasını düzenlemek için bir güvenlik özelliğidir; kimin bir süreci başlatabileceğini, nasıl ve nereden tanımlar. macOS Ventura'da tanıtılan bu özellikler, sistem ikili dosyalarını bir güven kapsayıcısı içinde kısıtlama kategorilerine ayırır. Her yürütülebilir ikili dosya, başlatma için belirli kurallara sahiptir; bunlar arasında kendisi, ebeveyn ve sorumlu kısıtlamaları bulunur. Üçüncü taraf uygulamalara Ortam Kısıtlamaları olarak genişletilen bu özellikler, süreç başlatma koşullarını yöneterek potansiyel sistem istismarlarını azaltmaya yardımcı olur.
Kötü Amaçlı Yazılım Kaldırma Aracı (MRT), macOS'un güvenlik altyapısının bir parçasıdır. Adından da anlaşılacağı gibi, MRT'nin ana işlevi bilinen kötü amaçlı yazılımları enfekte olmuş sistemlerden kaldırmaktır.
Bir Mac'te kötü amaçlı yazılım tespit edildiğinde (ya XProtect ya da başka bir yöntemle), MRT otomatik olarak kötü amaçlı yazılımı kaldırmak için kullanılabilir. MRT, arka planda sessizce çalışır ve genellikle sistem güncellendiğinde veya yeni bir kötü amaçlı yazılım tanımı indirildiğinde çalışır (MRT'nin kötü amaçlı yazılımları tespit etme kurallarının ikili dosyanın içinde olduğu görünmektedir).
Hem XProtect hem de MRT, macOS'un güvenlik önlemlerinin bir parçası olmasına rağmen, farklı işlevler yerine getirir:
XProtect, önleyici bir araçtır. Dosyalar indirildiğinde (belirli uygulamalar aracılığıyla) kontrol eder ve bilinen kötü amaçlı yazılım türlerinden herhangi birini tespit ederse, dosyanın açılmasını engeller, böylece kötü amaçlı yazılımın sisteminizi enfekte etmesini önler.
MRT ise reaktif bir araçtır. Kötü amaçlı yazılım bir sistemde tespit edildikten sonra çalışır ve amacı, sistemin temizlenmesi için zararlı yazılımı kaldırmaktır.
MRT uygulaması /Library/Apple/System/Library/CoreServices/MRT.app
konumundadır.
macOS, artık bir aracın kod yürütmesini sürdürmek için bilinen bir tekniği kullandığında her seferinde kullanıcıyı uyarır (örneğin Giriş Öğeleri, Daemon'lar...), böylece kullanıcı hangi yazılımın sürdüğünü daha iyi bilir.
Bu, /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/backgroundtaskmanagementd
konumundaki bir daemon ile çalışır ve ajan /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Support/BackgroundTaskManagementAgent.app
konumundadır.
backgroundtaskmanagementd
'nin bir şeyin kalıcı bir klasöre kurulu olduğunu bilme şekli, FSEvents alarak ve bunlar için bazı işleyiciler oluşturarak gerçekleşir.
Ayrıca, sıkça kalıcı olan bilinen uygulamaları içeren bir plist dosyası vardır; bu dosya Apple tarafından yönetilir ve /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/attributions.plist
konumundadır.
Apple cli aracını kullanarak tüm yapılandırılmış arka plan öğelerini listelemek mümkündür:
Ayrıca, bu bilgiyi DumpBTM ile listelemek de mümkündür.
Bu bilgi /private/var/db/com.apple.backgroundtaskmanagement/BackgroundItems-v4.btm
içinde saklanmaktadır ve Terminal FDA gerektirir.
Yeni bir kalıcılık bulunduğunda ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD
türünde bir olay meydana gelir. Bu nedenle, bu olayın gönderilmesini önlemenin veya ajanın kullanıcıyı uyarmasını engellemenin herhangi bir yolu, bir saldırgana BTM'yi bypass etmesine yardımcı olacaktır.
Veritabanını sıfırlama: Aşağıdaki komut veritabanını sıfırlayacaktır (temelden yeniden inşa edilmesi gerekir), ancak bir nedenle, bunu çalıştırdıktan sonra sistemi yeniden başlatana kadar yeni bir kalıcılık uyarısı yapılmayacaktır.
root gereklidir.
Ajansı Durdur: Yeni tespitler bulunduğunda kullanıcının uyarılmaması için ajansa bir durdurma sinyali göndermek mümkündür.
Hata: Eğer kalıcılığı oluşturan süreç hemen ardından hızlıca mevcutsa, daemon hakkında bilgi almaya çalışacak, başarısız olacak ve yeni bir şeyin kalıcı olduğunu belirten olayı gönderemeyecek.
BTM hakkında daha fazla bilgi:
AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)