macOS Bypassing Firewalls
Gefundene Techniken
Die folgenden Techniken wurden in einigen macOS-Firewall-Apps gefunden.
Missbrauch von Whitelist-Namen
Zum Beispiel das Benennen von Malware mit Namen von bekannten macOS-Prozessen wie
launchd
Synthetischer Klick
Wenn die Firewall den Benutzer um Erlaubnis bittet, lässt die Malware auf Erlauben klicken
Verwendung von von Apple signierten Binärdateien
Wie
curl
, aber auch andere wiewhois
Bekannte Apple-Domains
Die Firewall könnte Verbindungen zu bekannten Apple-Domains wie apple.com
oder icloud.com
zulassen. Und iCloud könnte als C2 verwendet werden.
Generischer Bypass
Einige Ideen, um Firewalls zu umgehen
Überprüfen des erlaubten Datenverkehrs
Das Wissen über den erlaubten Datenverkehr hilft Ihnen dabei, potenziell in die Whitelist aufgenommene Domains oder die Anwendungen zu identifizieren, die darauf zugreifen dürfen.
Ausnutzen von DNS
DNS-Auflösungen werden über die signierte Anwendung mdnsreponder
durchgeführt, die wahrscheinlich Zugriff auf DNS-Server haben wird.
Über Browser-Apps
oascript
Google Chrome
Firefox
Safari
Über Prozessinjektionen
Wenn Sie Code in einen Prozess injizieren können, der berechtigt ist, eine Verbindung zu einem beliebigen Server herzustellen, könnten Sie die Firewall-Schutzmaßnahmen umgehen:
macOS Process AbuseReferenzen
Last updated