macOS Security Protections
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Gatekeeper зазвичай використовується для позначення комбінації Quarantine + Gatekeeper + XProtect, 3 модулів безпеки macOS, які намагаються запобігти виконанню потенційно шкідливого програмного забезпечення, завантаженого користувачами.
Більше інформації в:
macOS Gatekeeper / Quarantine / XProtectMacOS Sandbox обмежує програми, що працюють всередині пісочниці, до дозволених дій, зазначених у профілі Sandbox, з яким працює програма. Це допомагає забезпечити, що програма буде отримувати доступ лише до очікуваних ресурсів.
macOS SandboxTCC (Transparency, Consent, and Control) є безпековою структурою. Вона призначена для управління дозволами програм, зокрема шляхом регулювання їх доступу до чутливих функцій. Це включає елементи, такі як сервіси геолокації, контакти, фотографії, мікрофон, камера, доступ до можливостей для людей з обмеженими можливостями та повний доступ до диска. TCC забезпечує, що програми можуть отримувати доступ до цих функцій лише після отримання явної згоди користувача, тим самим зміцнюючи конфіденційність і контроль над особистими даними.
macOS TCCОбмеження запуску в macOS є функцією безпеки для регулювання ініціації процесів, визначаючи хто може запустити процес, як і звідки. Введені в macOS Ventura, вони класифікують системні бінарні файли на категорії обмежень у кеші довіри. Кожен виконуваний бінар має встановлені правила для свого запуску, включаючи себе, батьківський та відповідальний обмеження. Розширені до сторонніх програм як Environment Constraints в macOS Sonoma, ці функції допомагають зменшити потенційні експлуатації системи, регулюючи умови запуску процесів.
macOS Launch/Environment Constraints & Trust CacheІнструмент видалення шкідливих програм (MRT) є ще однією частиною інфраструктури безпеки macOS. Як випливає з назви, основна функція MRT полягає в видаленні відомих шкідливих програм з заражених систем.
Коли шкідливе програмне забезпечення виявляється на Mac (або за допомогою XProtect, або іншим способом), MRT може бути використано для автоматичного видалення шкідливого програмного забезпечення. MRT працює тихо у фоновому режимі і зазвичай запускається щоразу, коли система оновлюється або коли завантажується нове визначення шкідливого програмного забезпечення (схоже, що правила, які MRT має для виявлення шкідливого програмного забезпечення, знаходяться всередині бінару).
Хоча як XProtect, так і MRT є частинами заходів безпеки macOS, вони виконують різні функції:
XProtect є профілактичним інструментом. Він перевіряє файли під час їх завантаження (через певні програми), і якщо виявляє будь-які відомі типи шкідливого програмного забезпечення, він запобігає відкриттю файлу, тим самим запобігаючи зараженню вашої системи з самого початку.
MRT, з іншого боку, є реактивним інструментом. Він працює після виявлення шкідливого програмного забезпечення в системі, з метою видалення шкідливого програмного забезпечення для очищення системи.
Застосунок MRT розташований у /Library/Apple/System/Library/CoreServices/MRT.app
macOS тепер інформує щоразу, коли інструмент використовує добре відому техніку для збереження виконання коду (таку як елементи входу, демонів...), щоб користувач краще знав, яке програмне забезпечення зберігається.
Це працює з демоном, розташованим у /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/backgroundtaskmanagementd
, і агентом у /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Support/BackgroundTaskManagementAgent.app
Спосіб, яким backgroundtaskmanagementd
дізнається, що щось встановлено в постійній папці, полягає в отриманні FSEvents і створенні деяких обробників для них.
Більше того, існує файл plist, який містить добре відомі програми, які часто зберігаються, що підтримується Apple, розташований у: /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/attributions.plist
Можливо перерахувати всі налаштовані фонові елементи, що працюють за допомогою інструмента Apple cli:
Крім того, також можливо вивести цю інформацію за допомогою DumpBTM.
Ця інформація зберігається в /private/var/db/com.apple.backgroundtaskmanagement/BackgroundItems-v4.btm
і Терминал потребує FDA.
Коли знаходиться нова персистентність, відбувається подія типу ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD
. Отже, будь-який спосіб запобігти цій події відправленню або агенту від сповіщення користувача допоможе зловмиснику обійти BTM.
Скидання бази даних: Виконання наступної команди скине базу даних (повинно відновити її з нуля), однак, з якоїсь причини, після виконання цього, жодна нова персистентність не буде сповіщена, поки система не буде перезавантажена.
root потрібен.
Зупинити агента: Можливо надіслати сигнал зупинки агенту, щоб він не сповіщав користувача про нові виявлення.
Помилка: Якщо процес, що створив постійність, існує швидко після нього, демон спробує отримати інформацію про нього, не вдасться і не зможе надіслати подію, що вказує на те, що новий об'єкт зберігається.
Посилання та додаткова інформація про BTM:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)