macOS Bypassing Firewalls
Знайдені техніки
Наступні техніки були виявлені як працюючі в деяких додатках брандмауерів macOS.
Зловживання іменами білого списку
Наприклад, назви шкідливих програм можуть бути викликані іменами відомих процесів macOS, таких як
launchd
Синтетичний клік
Якщо брандмауер запитує дозвіл від користувача, шкідлива програма може клацнути на дозвіл
Використання підписаних бінарних файлів Apple
Наприклад,
curl
, а також інші, такі якwhois
Відомі домени Apple
Брандмауер може дозволяти підключення до відомих доменів Apple, таких як apple.com
або icloud.com
. І iCloud може бути використаний як C2.
Загальний обхід
Деякі ідеї для спроб обійти брандмауери
Перевірка дозволеного трафіку
Знання дозволеного трафіку допоможе вам визначити потенційно включені в білий список домени або додатки, які мають до них доступ.
Зловживання DNS
DNS-розрішення виконується за допомогою підписаної програми mdnsreponder
, яка, ймовірно, буде дозволена звертатися до DNS-серверів.
Через програми браузера
oascript
Google Chrome
Firefox
Сафарі
Через внедрення процесів
Якщо ви можете впровадити код в процес, який має дозвіл на підключення до будь-якого сервера, ви можете обійти захист брандмауера:
Посилання
Last updated