macOS - AMFI - AppleMobileFileIntegrity
AppleMobileFileIntegrity.kext en amfid
Dit fokus op die afdwinging van die integriteit van die kode wat op die stelsel loop en bied die logika agter XNU se kodehandtekening verifikasie. Dit is ook in staat om regte te kontroleer en ander sensitiewe take te hanteer soos om foutopsporing toe te laat of om taakpoorte te verkry.
Boonop, vir sommige operasies, verkies die kext om die gebruikersruimte wat die daemon /usr/libexec/amfid
uitvoer, te kontak. Hierdie vertrouensverhouding is in verskeie jailbreaks misbruik.
AMFI gebruik MACF beleide en dit registreer sy haakies die oomblik wat dit begin. Ook, om die laai of ontlaai daarvan te voorkom kan 'n kernel paniek veroorsaak. Daar is egter 'n paar opstartargumente wat AMFI kan verlam:
amfi_unrestricted_task_for_pid
: Laat task_for_pid toe sonder vereiste regteamfi_allow_any_signature
: Laat enige kodehandtekening toecs_enforcement_disable
: Stelselswye argument wat gebruik word om kodehandtekening afdwinging te deaktiveeramfi_prevent_old_entitled_platform_binaries
: Ongeldig platform binaries met regteamfi_get_out_of_my_way
: Deaktiveer amfi heeltemal
Hierdie is 'n paar van die MACF beleide wat dit registreer:
cred_check_label_update_execve:
Etiketopdatering sal uitgevoer word en 1 teruggeecred_label_associate
: Werk AMFI se mac etiketgleuf met etiket opcred_label_destroy
: Verwyder AMFI se mac etiketgleufcred_label_init
: Beweeg 0 in AMFI se mac etiketgleufcred_label_update_execve
: Dit kontroleer die regte van die proses om te sien of dit toegelaat moet word om die etikette te wysig.file_check_mmap
: Dit kontroleer of mmap geheue verkry en dit as uitvoerbaar stel. In daardie geval kontroleer dit of biblioteekvalidasie nodig is en indien wel, roep dit die biblioteekvalidasiefunksie aan.file_check_library_validation
: Roep die biblioteekvalidasiefunksie aan wat onder andere kontroleer of 'n platform binêre 'n ander platform binêre laai of of die proses en die nuwe gelaaide lêer dieselfde TeamID het. Sekere regte sal ook toelaat om enige biblioteek te laai.policy_initbsd
: Stel vertroude NVRAM-sleutels oppolicy_syscall
: Dit kontroleer DYLD-beleide soos of die binêre onbeperkte segmente het, of dit omgewingsveranderlikes moet toelaat... dit word ook genoem wanneer 'n proses viaamfi_check_dyld_policy_self()
begin word.proc_check_inherit_ipc_ports
: Dit kontroleer of wanneer 'n proses 'n nuwe binêre uitvoer, ander prosesse met SEND-regte oor die taakpoort van die proses dit moet hou of nie. Platform binaries is toegelaat,get-task-allow
regte laat dit toe,task_for_pid-allow
regte is toegelaat en binaries met dieselfde TeamID.proc_check_expose_task
: afdwing regteamfi_exc_action_check_exception_send
: 'n Uitsondering boodskap word na die foutopsporing gestuuramfi_exc_action_label_associate & amfi_exc_action_label_copy/populate & amfi_exc_action_label_destroy & amfi_exc_action_label_init & amfi_exc_action_label_update
: Etiket lewensiklus tydens uitsondering hantering (foutopsporing)proc_check_get_task
: Kontroleer regte soosget-task-allow
wat ander prosesse toelaat om die taakpoort te verkry entask_for_pid-allow
, wat die proses toelaat om ander prosesse se taakpoorte te verkry. As geen van daardie, roep dit op naamfid permitunrestricteddebugging
om te kontroleer of dit toegelaat word.proc_check_mprotect
: Weier asmprotect
met die vlagVM_PROT_TRUSTED
aangeroep word wat aandui dat die streek asof dit 'n geldige kodehandtekening het, behandel moet word.vnode_check_exec
: Word aangeroep wanneer uitvoerbare lêers in geheue gelaai word en stelcs_hard | cs_kill
wat die proses sal doodmaak as enige van die bladsye ongeldig wordvnode_check_getextattr
: MacOS: Kontroleercom.apple.root.installed
enisVnodeQuarantined()
vnode_check_setextattr
: Soos kry + com.apple.private.allow-bless en interne-installer-ekwivalente regtevnode_check_signature
: Kode wat XNU aanroep om die kodehandtekening te kontroleer met behulp van regte, vertrou cache enamfid
proc_check_run_cs_invalid
: Dit onderskepptrace()
aanroepe (PT_ATTACH
enPT_TRACE_ME
). Dit kontroleer vir enige van die regteget-task-allow
,run-invalid-allow
enrun-unsigned-code
en as geen, kontroleer dit of foutopsporing toegelaat word.proc_check_map_anon
: As mmap met dieMAP_JIT
vlag aangeroep word, sal AMFI diedynamic-codesigning
regte kontroleer.
AMFI.kext
stel ook 'n API vir ander kernuitbreidings bloot, en dit is moontlik om sy afhanklikhede te vind met:
amfid
Dit is die gebruikersmodus wat daemons wat AMFI.kext
sal gebruik om kode-handtekeninge in gebruikersmodus te kontroleer.
Vir AMFI.kext
om met die daemon te kommunikeer, gebruik dit mach-boodskappe oor die poort HOST_AMFID_PORT
wat die spesiale poort 18
is.
Let daarop dat dit in macOS nie meer moontlik is vir root prosesse om spesiale poorte te kap nie, aangesien dit beskerm word deur SIP
en slegs launchd dit kan verkry. In iOS word dit nagegaan dat die proses wat die antwoord terugstuur die CDHash van amfid
hardgecodeer het.
Dit is moontlik om te sien wanneer amfid
versoek word om 'n binêre te kontroleer en die antwoord daarvan deur dit te debugeer en 'n breekpunt in mach_msg
in te stel.
Sodra 'n boodskap ontvang word via die spesiale poort, word MIG gebruik om elke funksie na die funksie wat dit aanroep te stuur. Die hooffunksies is omgekeerd en binne die boek verduidelik.
Provisioning Profiles
'n Provisioning-profiel kan gebruik word om kode te teken. Daar is Ontwikkelaar profiele wat gebruik kan word om kode te teken en dit te toets, en Enterprise profiele wat in alle toestelle gebruik kan word.
Nadat 'n App by die Apple Store ingedien is, indien goedgekeur, word dit deur Apple geteken en is die provisioning-profiel nie meer nodig nie.
'n Profiel gebruik gewoonlik die uitbreiding .mobileprovision
of .provisionprofile
en kan gedump word met:
Hoewel dit soms as gesertifiseer verwys word, het hierdie voorsieningsprofiele meer as 'n sertifikaat:
AppIDName: Die Aansoek Identifiseerder
AppleInternalProfile: Dui dit aan as 'n Apple Interne profiel
ApplicationIdentifierPrefix: Voorafgegaan aan AppIDName (dieselfde as TeamIdentifier)
CreationDate: Datum in
YYYY-MM-DDTHH:mm:ssZ
formaatDeveloperCertificates: 'n Array van (gewoonlik een) sertifikaat(e), gekodeer as Base64 data
Entitlements: Die regte wat toegelaat word met regte vir hierdie profiel
ExpirationDate: Vervaldatum in
YYYY-MM-DDTHH:mm:ssZ
formaatName: Die Aansoek Naam, dieselfde as AppIDName
ProvisionedDevices: 'n Array (vir ontwikkelaar sertifikate) van UDIDs waarvoor hierdie profiel geldig is
ProvisionsAllDevices: 'n Boolean (waar vir ondernemingssertifikate)
TeamIdentifier: 'n Array van (gewoonlik een) alfanumeriese string(e) wat gebruik word om die ontwikkelaar vir inter-aansoek interaksie doeleindes te identifiseer
TeamName: 'n Menslike leesbare naam wat gebruik word om die ontwikkelaar te identifiseer
TimeToLive: Geldigheid (in dae) van die sertifikaat
UUID: 'n Universeel Unieke Identifiseerder vir hierdie profiel
Version: Huidiglik op 1 gestel
Let daarop dat die regte inskrywing 'n beperkte stel regte sal bevat en die voorsieningsprofiel slegs daardie spesifieke regte kan gee om te voorkom dat Apple private regte gee.
Let daarop dat profiele gewoonlik in /var/MobileDeviceProvisioningProfiles
geleë is en dit moontlik is om dit te kontroleer met security cms -D -i /path/to/profile
libmis.dyld
Dit is die eksterne biblioteek wat amfid
aanroep om te vra of dit iets moet toelaat of nie. Dit is histories misbruik in jailbreaking deur 'n backdoored weergawe daarvan te loop wat alles sou toelaat.
In macOS is dit binne MobileDevice.framework
.
AMFI Trust Caches
iOS AMFI hou 'n lys van bekende hashes wat ad-hoc gesertifiseer is, genoem die Trust Cache en gevind in die kext se __TEXT.__const
afdeling. Let daarop dat dit in baie spesifieke en sensitiewe operasies moontlik is om hierdie Trust Cache met 'n eksterne lêer uit te brei.
References
Last updated