macOS Bypassing Firewalls
Técnicas Encontradas
Las siguientes técnicas se encontraron funcionando en algunas aplicaciones de firewall de macOS.
Abusando de nombres en la lista blanca
Por ejemplo, llamar al malware con nombres de procesos macOS conocidos como
launchd
Click Sintético
Si el firewall solicita permiso al usuario, hacer que el malware haga clic en permitir
Usar binarios firmados por Apple
Como
curl
, pero también otros comowhois
Dominios de Apple conocidos
El firewall podría estar permitiendo conexiones a dominios de Apple conocidos como apple.com
o icloud.com
. Y iCloud podría ser utilizado como un C2.
Bypass Genérico
Algunas ideas para intentar saltar firewalls
Verificar tráfico permitido
Conocer el tráfico permitido te ayudará a identificar dominios potencialmente en la lista blanca o qué aplicaciones tienen permiso para acceder a ellos
Abusando de DNS
Las resoluciones de DNS se realizan a través de la aplicación firmada mdnsreponder
, la cual probablemente tenga permiso para contactar a los servidores DNS.
A través de aplicaciones del navegador
oascript
Google Chrome
Firefox
Safari
A través de inyecciones de procesos
Si puedes inyectar código en un proceso que tiene permiso para conectarse a cualquier servidor, podrías evadir las protecciones del firewall:
macOS Process AbuseReferencias
Last updated