macOS Gatekeeper / Quarantine / XProtect

```c #include #include

enum qtn_flags { QTN_FLAG_DOWNLOAD = 0x0001, QTN_FLAG_SANDBOX = 0x0002, QTN_FLAG_HARD = 0x0004, QTN_FLAG_USER_APPROVED = 0x0040, };

#define qtn_proc_alloc _qtn_proc_alloc #define qtn_proc_apply_to_self _qtn_proc_apply_to_self #define qtn_proc_free _qtn_proc_free #define qtn_proc_init _qtn_proc_init #define qtn_proc_init_with_self _qtn_proc_init_with_self #define qtn_proc_set_flags _qtn_proc_set_flags #define qtn_file_alloc _qtn_file_alloc #define qtn_file_init_with_path _qtn_file_init_with_path #define qtn_file_free _qtn_file_free #define qtn_file_apply_to_path _qtn_file_apply_to_path #define qtn_file_set_flags _qtn_file_set_flags #define qtn_file_get_flags _qtn_file_get_flags #define qtn_proc_set_identifier _qtn_proc_set_identifier

typedef struct _qtn_proc *qtn_proc_t; typedef struct _qtn_file *qtn_file_t;

int qtn_proc_apply_to_self(qtn_proc_t); void qtn_proc_init(qtn_proc_t); int qtn_proc_init_with_self(qtn_proc_t); int qtn_proc_set_flags(qtn_proc_t, uint32_t flags); qtn_proc_t qtn_proc_alloc(); void qtn_proc_free(qtn_proc_t); qtn_file_t qtn_file_alloc(void); void qtn_file_free(qtn_file_t qf); int qtn_file_set_flags(qtn_file_t qf, uint32_t flags); uint32_t qtn_file_get_flags(qtn_file_t qf); int qtn_file_apply_to_path(qtn_file_t qf, const char *path); int qtn_file_init_with_path(qtn_file_t qf, const char path); int qtn_proc_set_identifier(qtn_proc_t qp, const char bundleid);

int main() {

qtn_proc_t qp = qtn_proc_alloc(); qtn_proc_set_identifier(qp, "xyz.hacktricks.qa"); qtn_proc_set_flags(qp, QTN_FLAG_DOWNLOAD | QTN_FLAG_USER_APPROVED); qtn_proc_apply_to_self(qp); qtn_proc_free(qp);

FILE *fp; fp = fopen("thisisquarantined.txt", "w+"); fprintf(fp, "Hello Quarantine\n"); fclose(fp);

return 0;

}

</details>

और **हटाएं** वह विशेषता:
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine

और सभी क्वारंटाइन की गई फ़ाइलों को खोजें:

find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"

क्वारंटाइन जानकारी एक केंद्रीय डेटाबेस में भी संग्रहीत होती है जिसे LaunchServices द्वारा प्रबंधित किया जाता है ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2।

Quarantine.kext

कर्नेल एक्सटेंशन केवल सिस्टम पर कर्नेल कैश के माध्यम से उपलब्ध है; हालाँकि, आप Kernel Debug Kit को https://developer.apple.com/ से डाउनलोड कर सकते हैं, जिसमें एक्सटेंशन का एक प्रतीकात्मक संस्करण होगा।

XProtect

XProtect macOS में एक अंतर्निहित एंटी-मैलवेयर सुविधा है। XProtect किसी भी एप्लिकेशन को उसके पहले लॉन्च या संशोधित होने पर ज्ञात मैलवेयर और असुरक्षित फ़ाइल प्रकारों के डेटाबेस के खिलाफ जांचता है। जब आप कुछ ऐप्स, जैसे Safari, Mail, या Messages के माध्यम से एक फ़ाइल डाउनलोड करते हैं, तो XProtect स्वचालित रूप से फ़ाइल को स्कैन करता है। यदि यह अपने डेटाबेस में किसी ज्ञात मैलवेयर से मेल खाता है, तो XProtect फ़ाइल को चलने से रोक देगा और आपको खतरे के बारे में सूचित करेगा।

XProtect डेटाबेस को नियमित रूप से Apple द्वारा नए मैलवेयर परिभाषाओं के साथ अपडेट किया जाता है, और ये अपडेट स्वचालित रूप से आपके Mac पर डाउनलोड और स्थापित होते हैं। यह सुनिश्चित करता है कि XProtect हमेशा नवीनतम ज्ञात खतरों के साथ अद्यतित है।

हालाँकि, यह ध्यान देने योग्य है कि XProtect एक पूर्ण-विशेषताओं वाला एंटीवायरस समाधान नहीं है। यह केवल ज्ञात खतरों की एक विशिष्ट सूची के लिए जांच करता है और अधिकांश एंटीवायरस सॉफ़्टवेयर की तरह ऑन-एक्सेस स्कैनिंग नहीं करता है।

आप नवीनतम XProtect अपडेट के बारे में जानकारी प्राप्त कर सकते हैं:

system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistConfigData" | tail -n 5

XProtect /Library/Apple/System/Library/CoreServices/XProtect.bundle पर स्थित है और बंडल के अंदर आप जानकारी पा सकते हैं जो XProtect उपयोग करता है:

• XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist: उन cdhashes के साथ कोड को विरासत के अधिकारों का उपयोग करने की अनुमति देता है।

• XProtect.bundle/Contents/Resources/XProtect.meta.plist: प्लगइन्स और एक्सटेंशनों की सूची जो BundleID और TeamID के माध्यम से लोड करने की अनुमति नहीं है या न्यूनतम संस्करण को इंगित करती है।

• XProtect.bundle/Contents/Resources/XProtect.yara: मैलवेयर का पता लगाने के लिए यारा नियम।

• XProtect.bundle/Contents/Resources/gk.db: अवरुद्ध अनुप्रयोगों और TeamIDs के हैश के साथ SQLite3 डेटाबेस।

ध्यान दें कि /Library/Apple/System/Library/CoreServices/XProtect.app में XProtect से संबंधित एक और ऐप है जो Gatekeeper प्रक्रिया में शामिल नहीं है।

Not Gatekeeper

ध्यान दें कि Gatekeeper हर बार निष्पादित नहीं होता जब आप एक अनुप्रयोग निष्पादित करते हैं, केवल AppleMobileFileIntegrity (AMFI) केवल निष्पादित कोड हस्ताक्षर की पुष्टि करेगा जब आप एक ऐप निष्पादित करते हैं जिसे पहले Gatekeeper द्वारा निष्पादित और सत्यापित किया गया है।

इसलिए, पहले यह संभव था कि एक ऐप को Gatekeeper के साथ कैश करने के लिए निष्पादित किया जाए, फिर अनुप्रयोग की गैर-निष्पादित फ़ाइलों को संशोधित करें (जैसे Electron asar या NIB फ़ाइलें) और यदि कोई अन्य सुरक्षा उपाय नहीं थे, तो अनुप्रयोग निष्पादित किया गया था दुष्ट परिवर्धनों के साथ।

हालांकि, अब यह संभव नहीं है क्योंकि macOS अनुप्रयोग बंडलों के अंदर फ़ाइलों को संशोधित करने से रोकता है। इसलिए, यदि आप Dirty NIB हमले का प्रयास करते हैं, तो आप पाएंगे कि इसे दुरुपयोग करना अब संभव नहीं है क्योंकि Gatekeeper के साथ इसे कैश करने के लिए ऐप को निष्पादित करने के बाद, आप बंडल को संशोधित नहीं कर पाएंगे। और यदि आप उदाहरण के लिए Contents निर्देशिका का नाम NotCon में बदलते हैं (जैसा कि शोषण में इंगित किया गया है), और फिर ऐप के मुख्य बाइनरी को Gatekeeper के साथ कैश करने के लिए निष्पादित करते हैं, तो यह एक त्रुटि को ट्रिगर करेगा और निष्पादित नहीं होगा।

Gatekeeper Bypasses

Gatekeeper को बायपास करने का कोई भी तरीका (उपयोगकर्ता को कुछ डाउनलोड करने और निष्पादित करने में सक्षम बनाना जब Gatekeeper इसे अस्वीकार करना चाहिए) macOS में एक भेद्यता माना जाता है। ये कुछ CVEs हैं जो तकनीकों को सौंपे गए हैं जिन्होंने अतीत में Gatekeeper को बायपास करने की अनुमति दी:

CVE-2021-1810

यह देखा गया कि यदि Archive Utility का उपयोग निष्कर्षण के लिए किया जाता है, तो 886 वर्णों से अधिक पथ वाली फ़ाइलों को com.apple.quarantine विस्तारित विशेषता प्राप्त नहीं होती है। यह स्थिति अनजाने में उन फ़ाइलों को Gatekeeper की सुरक्षा जांचों को बायपास करने की अनुमति देती है।

अधिक जानकारी के लिए मूल रिपोर्ट की जांच करें।

CVE-2021-30990

जब एक अनुप्रयोग Automator के साथ बनाया जाता है, तो इसे निष्पादित करने के लिए आवश्यक जानकारी application.app/Contents/document.wflow के अंदर होती है न कि निष्पादित में। निष्पादित केवल एक सामान्य Automator बाइनरी है जिसे Automator Application Stub कहा जाता है।

इसलिए, आप application.app/Contents/MacOS/Automator\ Application\ Stub को सिस्टम के अंदर एक अन्य Automator Application Stub की ओर एक प्रतीकात्मक लिंक के साथ इंगित कर सकते हैं और यह document.wflow (आपका स्क्रिप्ट) के अंदर जो है उसे Gatekeeper को ट्रिगर किए बिना निष्पादित करेगा क्योंकि वास्तविक निष्पादित में क्वारंटाइन xattr नहीं है।

उदाहरण के लिए अपेक्षित स्थान: /System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub

अधिक जानकारी के लिए मूल रिपोर्ट की जांच करें।

CVE-2022-22616

इस बायपास में एक ज़िप फ़ाइल बनाई गई थी जिसमें एक अनुप्रयोग application.app/Contents से संकुचन शुरू कर रहा था न कि application.app से। इसलिए, क्वारंटाइन विशेषता सभी फाइलों पर लागू की गई थी application.app/Contents लेकिन application.app पर नहीं, जिसे Gatekeeper जांच रहा था, इसलिए Gatekeeper को बायपास किया गया क्योंकि जब application.app को ट्रिगर किया गया तो इसमें क्वारंटाइन विशेषता नहीं थी।

zip -r test.app/Contents test.zip

Check the original report for more information.

CVE-2022-32910

यहां तक कि यदि घटक भिन्न हैं, तो इस सुरक्षा कमजोरी का शोषण पिछले वाले के समान है। इस मामले में, हम application.app/Contents से एक Apple Archive बनाएंगे ताकि application.app को Archive Utility द्वारा अनजिप करते समय क्वारंटाइन विशेषता न मिले।

aa archive -d test.app/Contents -o test.app.aar

Check the original report for more information.

CVE-2022-42821

ACL writeextattr का उपयोग किसी को भी फ़ाइल में विशेषता लिखने से रोकने के लिए किया जा सकता है:

touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'

Moreover, AppleDouble फ़ाइल प्रारूप एक फ़ाइल को उसके ACEs सहित कॉपी करता है।

In the source code यह देखना संभव है कि xattr के अंदर संग्रहीत ACL पाठ प्रतिनिधित्व com.apple.acl.text के रूप में सेट किया जाएगा। इसलिए, यदि आपने एक एप्लिकेशन को AppleDouble फ़ाइल प्रारूप में एक ज़िप फ़ाइल में संकुचित किया है जिसमें एक ACL है जो अन्य xattrs को इसमें लिखने से रोकता है... तो क्वारंटाइन xattr एप्लिकेशन में सेट नहीं किया गया था:

chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
python3 -m http.server
# Download the zip from the browser and decompress it, the file should be without a quarantine xattr

अधिक जानकारी के लिए मूल रिपोर्ट देखें।

ध्यान दें कि इसे AppleArchives के साथ भी शोषित किया जा सकता है:

mkdir app
touch app/test
chmod +a "everyone deny write,writeattr,writeextattr" app/test
aa archive -d app -o test.aar

CVE-2023-27943

यह पता चला कि Google Chrome डाउनलोड की गई फ़ाइलों के लिए क्वारंटाइन विशेषता सेट नहीं कर रहा था कुछ macOS आंतरिक समस्याओं के कारण।

CVE-2023-27951

AppleDouble फ़ाइल प्रारूप एक फ़ाइल के गुणों को एक अलग फ़ाइल में ._ से शुरू करके संग्रहीत करते हैं, यह macOS मशीनों के बीच फ़ाइल गुणों की कॉपी करने में मदद करता है। हालाँकि, यह देखा गया कि एक AppleDouble फ़ाइल को अनजिप करने के बाद, ._ से शुरू होने वाली फ़ाइल को क्वारंटाइन विशेषता नहीं दी गई।

mkdir test
echo a > test/a
echo b > test/b
echo ._a > test/._a
aa archive -d test/ -o test.aar

# If you downloaded the resulting test.aar and decompress it, the file test/._a won't have a quarantitne attribute

एक फ़ाइल बनाने में सक्षम होना जिसमें क्वारंटाइन विशेषता सेट नहीं होगी, यह गेटकीपर को बायपास करना संभव था। चाल यह थी कि एप्पलडबल नाम सम्मेलन का उपयोग करके एक DMG फ़ाइल एप्लिकेशन बनाना (इसे ._ से शुरू करना) और इस छिपी हुई फ़ाइल के लिए एक दृश्यमान फ़ाइल के रूप में एक सिम लिंक बनाना जिसमें क्वारंटाइन विशेषता नहीं हो। जब dmg फ़ाइल को निष्पादित किया जाता है, क्योंकि इसमें क्वारंटाइन विशेषता नहीं है, यह गेटकीपर को बायपास कर देगी।

# Create an app bundle with the backdoor an call it app.app

echo "[+] creating disk image with app"
hdiutil create -srcfolder app.app app.dmg

echo "[+] creating directory and files"
mkdir
mkdir -p s/app
cp app.dmg s/app/._app.dmg
ln -s ._app.dmg s/app/app.dmg

echo "[+] compressing files"
aa archive -d s/ -o app.aar

uchg (from this talk)

• एक ऐप वाला डायरेक्टरी बनाएं।

• ऐप में uchg जोड़ें।

• ऐप को tar.gz फ़ाइल में संकुचित करें।

• tar.gz फ़ाइल को एक पीड़ित को भेजें।

• पीड़ित tar.gz फ़ाइल खोलता है और ऐप चलाता है।

• Gatekeeper ऐप की जांच नहीं करता है।

Prevent Quarantine xattr

एक ".app" बंडल में यदि क्वारंटाइन xattr जोड़ा नहीं गया है, तो इसे निष्पादित करते समय Gatekeeper सक्रिय नहीं होगा।