• क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी का हैकट्रिक्स में विज्ञापन देखना चाहते हैं? या क्या आपको PEASS के नवीनतम संस्करण या हैकट्रिक्स को पीडीएफ में डाउनलोड करने का एक्सेस चाहिए? सब्सक्रिप्शन प्लान्स की जाँच करें!

• दी पीएस फैमिली की खोज करें, हमारा विशेष एनएफटीज़ संग्रह

• आधिकारिक पीएस और हैकट्रिक्स स्वैग प्राप्त करें

• शामिल हों 💬 डिस्कॉर्ड ग्रुप या टेलीग्राम ग्रुप या मुझे ट्विटर पर फॉलो करें 🐦@carlospolopm.

• अपने हैकिंग ट्रिक्स साझा करें, हैकट्रिक्स रेपो में PRs सबमिट करके और हैकट्रिक्स-क्लाउड रेपो को देखें

```c #include #include

enum qtn_flags { QTN_FLAG_DOWNLOAD = 0x0001, QTN_FLAG_SANDBOX = 0x0002, QTN_FLAG_HARD = 0x0004, QTN_FLAG_USER_APPROVED = 0x0040, };

#define qtn_proc_alloc _qtn_proc_alloc #define qtn_proc_apply_to_self _qtn_proc_apply_to_self #define qtn_proc_free _qtn_proc_free #define qtn_proc_init _qtn_proc_init #define qtn_proc_init_with_self _qtn_proc_init_with_self #define qtn_proc_set_flags _qtn_proc_set_flags #define qtn_file_alloc _qtn_file_alloc #define qtn_file_init_with_path _qtn_file_init_with_path #define qtn_file_free _qtn_file_free #define qtn_file_apply_to_path _qtn_file_apply_to_path #define qtn_file_set_flags _qtn_file_set_flags #define qtn_file_get_flags _qtn_file_get_flags #define qtn_proc_set_identifier _qtn_proc_set_identifier

typedef struct _qtn_proc *qtn_proc_t; typedef struct _qtn_file *qtn_file_t;

int qtn_proc_apply_to_self(qtn_proc_t); void qtn_proc_init(qtn_proc_t); int qtn_proc_init_with_self(qtn_proc_t); int qtn_proc_set_flags(qtn_proc_t, uint32_t flags); qtn_proc_t qtn_proc_alloc(); void qtn_proc_free(qtn_proc_t); qtn_file_t qtn_file_alloc(void); void qtn_file_free(qtn_file_t qf); int qtn_file_set_flags(qtn_file_t qf, uint32_t flags); uint32_t qtn_file_get_flags(qtn_file_t qf); int qtn_file_apply_to_path(qtn_file_t qf, const char *path); int qtn_file_init_with_path(qtn_file_t qf, const char path); int qtn_proc_set_identifier(qtn_proc_t qp, const char bundleid);

int main() {

qtn_proc_t qp = qtn_proc_alloc(); qtn_proc_set_identifier(qp, "xyz.hacktricks.qa"); qtn_proc_set_flags(qp, QTN_FLAG_DOWNLOAD | QTN_FLAG_USER_APPROVED); qtn_proc_apply_to_self(qp); qtn_proc_free(qp);

FILE *fp; fp = fopen("thisisquarantined.txt", "w+"); fprintf(fp, "Hello Quarantine\n"); fclose(fp);

return 0;

}

</details>

और **उस गुण को** इस प्रकार हटाएँ:
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine

और सभी क्वारंटाइंड फ़ाइलें खोजें:

find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"

क्वारंटाइन जानकारी भी ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 में लॉन्चसर्विसेस द्वारा प्रबंधित एक केंद्रीय डेटाबेस में संग्रहित होती है।

Quarantine.kext

कर्नेल एक्सटेंशन केवल सिस्टम पर कर्नेल कैश के माध्यम से उपलब्ध है; हालांकि, आप https://developer.apple.com/ से कर्नेल डीबग किट डाउनलोड कर सकते हैं, जिसमें एक सिम्बोलिकेटेड संस्करण शामिल होगा।

XProtect

XProtect मैकओएस में एक निर्देशित एंटी-मैलवेयर सुविधा है। XProtect जाना मलवेयर और असुरक्षित फ़ाइल प्रकारों के डेटाबेस के खिलाफ किसी भी एप्लिकेशन की जांच करता है जब यह पहली बार लॉन्च किया जाता है या संशोधित किया जाता है। जब आप किसी फ़ाइल को कुछ ऐप्स के माध्यम से डाउनलोड करते हैं, जैसे Safari, Mail, या Messages, XProtect स्वचालित रूप से फ़ाइल की जांच करता है। अगर यह अपने डेटाबेस में किसी भी जाना मलवेयर से मेल खाता है, तो XProtect फ़ाइल को चलाने से रोकेगा और आपको खतरे के बारे में सूचित करेगा।

XProtect डेटाबेस को नए मलवेयर परिभाषाओं के साथ नियमित रूप से Apple द्वारा अपडेट किया जाता है, और ये अपडेट आपके मैक पर स्वचालित रूप से डाउनलोड और स्थापित किए जाते हैं। इससे यह सुनिश्चित होता है कि XProtect हमेशा नवीनतम जाने गए खतरों के साथ अप-टू-डेट है।

हालांकि, यह ध्यान देने योग्य है कि XProtect एक पूर्ण विशेषज्ञ एंटीवायरस समाधान नहीं है। यह केवल निश्चित सूची के जाने गए खतरों की जांच करता है और अधिकांश एंटीवायरस सॉफ़्टवेयर की तरह ऑन-एक्सेस स्कैनिंग नहीं करता है।

आप नवीनतम XProtect अपडेट के बारे में जानकारी प्राप्त कर सकते हैं:

system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistConfigData" | tail -n 5

XProtect स्थित है। SIP सुरक्षित स्थान पर /Library/Apple/System/Library/CoreServices/XProtect.bundle और बंडल के अंदर आपको जानकारी मिलेगी जिसका XProtect उपयोग करता है:

• XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist: उन cdhashes के साथ कोड को पुरानी अधिकारों की अनुमति देने देता है।

• XProtect.bundle/Contents/Resources/XProtect.meta.plist: BundleID और TeamID के माध्यम से लोड करने की अनुमति नहीं देने वाले प्लगइन और एक्सटेंशन की सूची या न्यूनतम संस्करण को दर्शाने वाली सूची।

• XProtect.bundle/Contents/Resources/XProtect.yara: मैलवेयर का पता लगाने के लिए यारा नियम।

• XProtect.bundle/Contents/Resources/gk.db: ब्लॉक किए गए एप्लिकेशन और TeamIDs के हैश के साथ SQLite3 डेटाबेस।

ध्यान दें कि /Library/Apple/System/Library/CoreServices/XProtect.app में एक और ऐप है जो XProtect से संबंधित है जो Gatekeeper प्रक्रिया के साथ संलग्न नहीं है।

गेटकीपर नहीं

ध्यान दें कि गेटकीपर हर बार नहीं चलाया जाता है जब आप कोई एप्लिकेशन चलाते हैं, बस AppleMobileFileIntegrity (AMFI) केवल तब निर्वाचनीय कोड हस्ताक्षरों की पुष्टि करेगा जब आप एक एप्लिकेशन चलाते हैं जिसे पहले से ही गेटकीपर द्वारा पुष्टि की गई है।

इसलिए, पहले एक एप्लिकेशन को गेटकीपर के साथ कैश करने के लिए चलाना संभव था, फिर एप्लिकेशन के अभिक्रिय फ़ाइलों को संशोधित करना (जैसे Electron asar या NIB फ़ाइलें) और अगर कोई अन्य सुरक्षा उपाय नहीं थे, तो एप्लिकेशन को दुर्भाग्यपूर्ण जोड़ों के साथ चलाया गया था।

हालांकि, अब यह संभव नहीं है क्योंकि macOS एप्लिकेशन बंडल के अंदर फ़ाइलों को संशोधित करने से रोकता है। इसलिए, यदि आप डर्टी NIB हमला करने की कोशिश करते हैं, तो आपको पाया जाएगा कि इसे उसे दुरुस्त करना संभव नहीं है क्योंकि गेटकीपर द्वारा पुष्टि करने के लिए एप्लिकेशन को कैश करने के बाद, आप बंडल को संशोधित नहीं कर पाएंगे। और यदि आप उदाहरण के लिए Contents निर्देशिका का नाम NotCon में बदलते हैं (जैसा कि उत्पादन में इंडिकेट किया गया है), और फिर एप्लिकेशन के मुख्य BINARY को गेटकीपर के साथ कैश करने के लिए चलाते हैं, तो यह एक त्रुटि को ट्रिगर करेगा और नहीं चलाएगा।

गेटकीपर बायपास

गेटकीपर को बायपास करने का कोई भी तरीका (उपयोगकर्ता को कुछ डाउनलोड करने और गेटकीपर द्वारा इसे निषेधित करने पर भी इसे चलाने में सफल होना) macOS में एक सुरक्षा दोष के रूप में माना जाता है। ये कुछ CVEs हैं जिन्हें उन तकनीकों के लिए निर्धारित किया गया था जिनसे पिछले में गेटकीपर को बायपास करने की अनुमति थी:

CVE-2021-1810

यह देखा गया कि यदि आर्काइव यूटिलिटी का उपयोग निकालने के लिए किया जाता है, तो 886 वर्णों से अधिक पथ वाली फ़ाइलों को com.apple.quarantine विस्तारित विशेषता प्राप्त नहीं होती। यह स्थिति अनजाने में उन फ़ाइलों को गेटकीपर की सुरक्षा जांचों से छलने देती है।

अधिक जानकारी के लिए मूल रिपोर्ट देखें।

CVE-2021-30990

जब कोई एप्लिकेशन Automator के साथ बनाया जाता है, तो उसके बारे में जो जानकारी होती है कि वह क्या करने की आवश्यकता है, वह application.app/Contents/document.wflow में होती है न कि एक्जीक्यूटेबल में। एक्जीक्यूटेबल सिर्फ एक सामान्य Automator बाइनरी होता है जिसे Automator Application Stub कहा जाता है।

इसलिए, आप application.app/Contents/MacOS/Automator\ Application\ Stub को एक सिम्बॉलिक लिंक के साथ अन्य Automator Application Stub की ओर पॉइंट कर सकते हैं और यह document.wflow (आपका स्क्रिप्ट) को गेटकीपर को ट्रिगर किए बिना चलाएगा क्योंकि वास्तविक एक्जीक्यूटेबल के पास क्वारंटाइन xattr नहीं है।

उम्मीद की जाने वाली स्थान का उदाहरण: /System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub

अधिक जानकारी के लिए मूल रिपोर्ट देखें।

CVE-2022-22616

इस बायपास में एक zip फ़ाइल बनाई गई थी जिसमें एक एप्लिकेशन को application.app/Contents से शुरू करने की शुरुआत की गई थी बजाय application.app से। इसलिए, क्वारंटाइन एट्रिब्यूट सभी फ़ाइलों पर लागू हो गया था application.app/Contents लेकिन application.app पर नहीं, जिसे गेटकीपर जांच थी, इसलिए गेटकीपर को बायपास कर दिया गया क्योंकि जब application.app ट्रिगर होता है तो उसमें क्वारंटाइन एट्रिब्यूट नहीं होता था।

zip -r test.app/Contents test.zip

अधिक जानकारी के लिए मूल रिपोर्ट देखें।

CVE-2022-32910

हालांकि घटक भिन्न हैं, इस वंरुल्नरबिलिटी का शोषण पिछले वाले के बहुत ही समान है। इस मामले में हम application.app/Contents से एक Apple Archive उत्पन्न करेंगे ताकि **application.app को जब Archive Utility द्वारा अनआर्किव किया जाए, तो वह क्वारंटाइन एट्रिब्यूट न मिले।

aa archive -d test.app/Contents -o test.app.aar

अधिक जानकारी के लिए मौलिक रिपोर्ट की जाँच करें।

CVE-2022-42821

ACL writeextattr का उपयोग किसी भी व्यक्ति को फ़ाइल में एक गुण लिखने से रोकने के लिए किया जा सकता है:

touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'

इसके अतिरिक्त, AppleDouble फ़ाइल प्रारूप एक फ़ाइल की प्रतिलिपि बनाता है जिसमें उसके ACEs शामिल होते हैं।

स्रोत कोड में देखा जा सकता है कि ACL पाठ प्रतिनिधित्व com.apple.acl.text नामक xattr के अंदर संग्रहीत किया जाएगा और इसे डीकंप्रेस की गई फ़ाइल में ACL के रूप में सेट किया जाएगा। इसलिए, अगर आपने एक एप्लिकेशन को एक zip फ़ाइल में AppleDouble फ़ाइल प्रारूप के साथ संकुचित किया है जिसमें एक ACL है जो इसे लिखने से रोकता है... तो quarantine xattr एप्लिकेशन में सेट नहीं हुआ था:

chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
python3 -m http.server
# Download the zip from the browser and decompress it, the file should be without a quarantine xattr

अधिक जानकारी के लिए मूल रिपोर्ट की जाँच करें।

ध्यान दें कि यह AppleArchives के साथ भी उत्पन्न किया जा सकता है:

mkdir app
touch app/test
chmod +a "everyone deny write,writeattr,writeextattr" app/test
aa archive -d app -o test.aar

CVE-2023-27943

यह पाया गया कि Google Chrome डाउनलोड की गई फ़ाइलों में quarantine विशेषता सेट नहीं कर रहा था क्योंकि कुछ macOS आंतरिक समस्याओं के कारण।

CVE-2023-27951

AppleDouble फ़ाइल प्रारूप एक फ़ाइल की विशेषताएँ ._ से शुरू होने वाली एक अलग फ़ाइल में संग्रहित करते हैं, यह मदद करता है macOS मशीनों के बीच फ़ाइल विशेषताएँ कॉपी करने में। हालांकि, एक AppleDouble फ़ाइल को डीकंप्रेस करने के बाद यह नोटिस किया गया कि ._ से शुरू होने वाली फ़ाइल को quarantine विशेषता नहीं दी गई थी।

mkdir test
echo a > test/a
echo b > test/b
echo ._a > test/._a
aa archive -d test/ -o test.aar

# If you downloaded the resulting test.aar and decompress it, the file test/._a won't have a quarantitne attribute

एक फ़ाइल बनाने में सक्षम होना जिसमें quarantine विशेषता सेट नहीं है, यह Gatekeeper को छलकरना संभव था। यह ट्रिक थी एक DMG फ़ाइल एप्लिकेशन बनाना जिसका नामकरण AppleDouble नाम परंपरा का उपयोग करके करें (इसे ._ से शुरू करें) और इस quarantine विशेषता के बिना छिपी हुई फ़ाइल के रूप में एक दृश्यमान फ़ाइल बनाएं। जब dmg फ़ाइल को क्रियान्वित किया जाता है, क्योंकि इसमें quarantine विशेषता नहीं है, इससे Gatekeeper को छलाना होगा।

# Create an app bundle with the backdoor an call it app.app

echo "[+] creating disk image with app"
hdiutil create -srcfolder app.app app.dmg

echo "[+] creating directory and files"
mkdir
mkdir -p s/app
cp app.dmg s/app/._app.dmg
ln -s ._app.dmg s/app/app.dmg

echo "[+] compressing files"
aa archive -d s/ -o app.aar

जांच रोकें xattr

एक ".app" बंडल में अगर quarantine xattr नहीं जोड़ा गया है, तो जब इसे निष्पादित किया जाएगा Gatekeeper को ट्रिगर नहीं किया जाएगा।