macOS Bypassing Firewalls
Tecniche trovate
Le seguenti tecniche sono state trovate funzionanti in alcune app firewall di macOS.
Abuso dei nomi nella whitelist
Ad esempio chiamare il malware con nomi di processi macOS ben noti come
launchd
Click sintetico
Se il firewall chiede il permesso all'utente, fare in modo che il malware clicchi su consenti
Utilizzare binari firmati da Apple
Come
curl
, ma anche altri comewhois
Domini Apple ben noti
Il firewall potrebbe consentire connessioni a domini Apple ben noti come apple.com
o icloud.com
. E iCloud potrebbe essere utilizzato come C2.
Bypass generico
Alcune idee per cercare di bypassare i firewall
Controllare il traffico consentito
Conoscere il traffico consentito ti aiuterà a identificare potenzialmente i domini presenti nella whitelist o le applicazioni che hanno il permesso di accedervi
Abuso del DNS
Le risoluzioni DNS vengono effettuate tramite l'applicazione firmata mdnsreponder
che probabilmente sarà autorizzata a contattare i server DNS.
Tramite app del Browser
oascript
Google Chrome
Firefox
Safari
Attraverso l'iniezione di processi
Se puoi iniettare codice in un processo che è autorizzato a connettersi a qualsiasi server, potresti eludere le protezioni del firewall:
pagemacOS Process AbuseRiferimenti
Last updated