macOS Bypassing Firewalls
Εντοπισμένες τεχνικές
Οι παρακάτω τεχνικές βρέθηκαν να λειτουργούν σε μερικές εφαρμογές τοίχων πυρασφάλειας του macOS.
Κατάχρηση ονομάτων λευκής λίστας
Για παράδειγμα, να ονομάζετε το malware με ονόματα γνωστών διεργασιών του macOS όπως
launchd
Συνθετικό Κλικ
Εάν ο τοίχος πυρασφάλειας ζητά άδεια από τον χρήστη, κάντε το malware να κάνει κλικ στο επιτρέπω
Χρήση υπογεγραμμένων δυαδικών αρχείων της Apple
Όπως το
curl
, αλλά και άλλα όπως τοwhois
Γνωστοί τομείς της Apple
Ο τοίχος πυρασφάλειας μπορεί να επιτρέπει συνδέσεις σε γνωστούς τομείς της Apple όπως το apple.com
ή το icloud.com
. Και το iCloud μπορεί να χρησιμοποιηθεί ως C2.
Γενική Παράκαμψη
Μερικές ιδέες για να προσπαθήσετε να παρακάμψετε τους τοίχους πυρασφάλειας
Έλεγχος επιτρεπόμενης κίνησης
Γνωρίζοντας την επιτρεπόμενη κίνηση θα σας βοηθήσει να αναγνωρίσετε πιθανώς τους τομείς που βρίσκονται στη λευκή λίστα ή ποιες εφαρμογές έχουν άδεια πρόσβασης σε αυτούς.
Κατάχρηση DNS
Οι αναλύσεις DNS γίνονται μέσω της υπογεγραμμένης εφαρμογής mdnsreponder
που πιθανόν να επιτραπεί να επικοινωνήσει με διακομιστές DNS.
Μέσω εφαρμογών Περιηγητή
oascript
Google Chrome
Firefox
Safari
Μέσω ενσωμάτωσης διεργασιών
Εάν μπορείτε να ενθέτετε κώδικα σε μια διεργασία που έχει άδεια να συνδεθεί σε οποιονδήποτε διακομιστή, μπορείτε να παρακάμψετε τις προστασίες του τοίχου προστασίας:
Αναφορές
Last updated