macOS Bypassing Firewalls
发现的技术
以下技术在一些macOS防火墙应用程序中被发现可行。
滥用白名单名称
例如,将恶意软件命名为众所周知的macOS进程名称,如**
launchd
**
合成点击
如果防火墙要求用户授权,使恶意软件点击允许
使用苹果签名的二进制文件
像**
curl
,还有其他如whois
**
众所周知的苹果域名
防火墙可能允许连接到众所周知的苹果域名,如**apple.com
或icloud.com
**。iCloud可能被用作C2。
通用绕过
一些尝试绕过防火墙的想法
检查允许的流量
了解允许的流量将帮助您识别潜在的白名单域或允许访问它们的应用程序。
滥用 DNS
DNS 解析是通过 mdnsreponder
签名应用程序完成的,很可能会被允许与 DNS 服务器联系。
通过浏览器应用程序
oascript
谷歌浏览器
火狐
Safari
通过进程注入
如果你能够将代码注入到一个允许连接到任何服务器的进程中,那么你可以绕过防火墙的保护:
macOS Process Abuse参考资料
Last updated