MDMの乱用

• JAMF Pro: jamf checkJSSConnection

• Kandji

管理プラットフォームにアクセスするために管理者資格情報を侵害することができれば、マシンにマルウェアを配布することで、すべてのコンピュータを潜在的に侵害することができます。

MacOS環境でのレッドチーミングでは、MDMの動作原理を理解することが強く推奨されています：

MDMをC2として使用する

MDMは、プロファイルのインストール、クエリ、削除、アプリケーションのインストール、ローカル管理者アカウントの作成、ファームウェアパスワードの設定、FileVaultキーの変更などの権限を持っています。

独自のMDMを実行するには、https://mdmcert.download/で取得できるベンダーによってCSRを署名する必要があります。Appleデバイス用の独自のMDMを実行するには、MicroMDMを使用できます。

ただし、登録されたデバイスにアプリケーションをインストールするには、開発者アカウントで署名する必要があります... ただし、MDM登録時には、デバイスがMDMのSSL証明書を信頼できるCAとして追加するため、今後は何でも署名できます。

デバイスをMDMに登録するには、ルートとして**mobileconfigファイルをインストールする必要があります。これはpkg**ファイルを介して配信できます（Safariからダウンロードされると解凍されます）。

MythicエージェントOrthrusはこのテクニックを使用しています。

JAMF PROの乱用

JAMFはカスタムスクリプト（システム管理者が開発したスクリプト）、ネイティブペイロード（ローカルアカウントの作成、EFIパスワードの設定、ファイル/プロセスの監視...）、MDM（デバイスの構成、デバイス証明書...）を実行できます。

JAMFの自己登録

https://<company-name>.jamfcloud.com/enroll/などのページに移動して、自己登録が有効になっているかどうかを確認します。有効になっている場合は、アクセスするための資格情報を要求するかもしれません。

JamfSniper.pyスクリプトを使用してパスワードスプレー攻撃を実行できます。

適切な資格情報を見つけた後、次の形式で他のユーザー名を総当たり攻撃することができるかもしれません：

JAMFデバイス認証

jamfバイナリには、キーチェーンを開くための秘密が含まれており、発見時点では誰もが共有していたものでした：jk23ucnq91jfu9aj。 さらに、jamfは**/Library/LaunchAgents/com.jamf.management.agent.plistにLaunchDaemonとして永続化**されます。

JAMFデバイス乗っ取り

jamfが使用するJSS（Jamf Software Server）URLは**/Library/Preferences/com.jamfsoftware.jamf.plist**にあります。 このファイルには基本的にURLが含まれています：

plutil -convert xml1 -o - /Library/Preferences/com.jamfsoftware.jamf.plist

[...]
<key>is_virtual_machine</key>
<false/>
<key>jss_url</key>
<string>https://halbornasd.jamfcloud.com/</string>
<key>last_management_framework_change_id</key>
<integer>4</integer>
[...]

したがって、攻撃者は、このファイルを上書きし、TyphonエージェントからMythic C2リスナーへのURLを設定するように悪意のあるパッケージ（pkg）をインストールすることができ、これによりJAMFをC2として悪用することができます。

# After changing the URL you could wait for it to be reloaded or execute:
sudo jamf policy -id 0

# TODO: There is an ID, maybe it's possible to have the real jamf connection and another one to the C2

JAMF Impersonation

デバイスとJMFの間の通信を偽装するには、次のものが必要です：

• デバイスのUUID：ioreg -d2 -c IOPlatformExpertDevice | awk -F" '/IOPlatformUUID/{print $(NF-1)}'

• 次の場所からのJAMFキーチェーン：/Library/Application\ Support/Jamf/JAMF.keychain（デバイス証明書を含む）

この情報を使用して、盗まれたハードウェアUUIDを持つVMを作成し、SIPを無効にし、JAMFキーチェーンをドロップし、Jamf エージェントをフックして情報を盗みます。

Secrets stealing

また、カスタムスクリプトを監視することもできます。管理者がJamfを介して実行したいと考えるかもしれない場所 /Library/Application Support/Jamf/tmp/ これらのスクリプトはここに配置され、実行され、削除されます。これらのスクリプトには資格情報が含まれる可能性があります。

ただし、資格情報はパラメータとしてこれらのスクリプトに渡される場合がありますので、ps aux | grep -i jamf を監視する必要があります（root権限でなくても）。

スクリプトJamfExplorer.py は、新しいファイルが追加されるのを監視し、新しいプロセス引数を聞くことができます。

macOS Remote Access

そしてMacOSの"特別な"ネットワーク プロトコルについても：

Active Directory

場合によっては、MacOSコンピューターがADに接続されていることがわかります。このシナリオでは、通常どおりにアクティブディレクトリを列挙してみてください。以下のページでヘルプを見つけることができます：

あなたを助けるのに役立つローカルMacOSツールの1つは dscl です：

dscl "/Active Directory/[Domain]/All Domains" ls /

また、MacOS向けにActive Directoryの自動列挙やKerberosの操作を行うためのツールがいくつか用意されています:

• Machound: MacHoundはBloodhound監査ツールの拡張機能で、MacOSホスト上でActive Directoryの関係を収集および取り込むことができます。

• Bifrost: BifrostはObjective-Cプロジェクトで、macOS上のHeimdal krb5 APIとやり取りするように設計されています。このプロジェクトの目標は、macOSデバイス上でKerberosに関するセキュリティテストを、ターゲット上で他のフレームワークやパッケージを必要とせずに、ネイティブAPIを使用して可能にすることです。

• Orchard: Active Directoryの列挙を行うためのJavaScript for Automation (JXA)ツール。

ドメイン情報

echo show com.apple.opendirectoryd.ActiveDirectory | scutil

ユーザー

MacOSの3つのタイプのユーザーは次のとおりです：

• ローカルユーザー — ローカルのOpenDirectoryサービスによって管理され、Active Directoryとは何の接続もありません。

• ネットワークユーザー — DCサーバーに接続して認証する必要がある一時的なActive Directoryユーザー。

• モバイルユーザー — 資格情報とファイルのローカルバックアップを持つActive Directoryユーザー。

ユーザーとグループに関するローカル情報は、/var/db/dslocal/nodes/Default フォルダに保存されています。 たとえば、ユーザー mark に関する情報は /var/db/dslocal/nodes/Default/users/mark.plist に保存され、グループ admin に関する情報は /var/db/dslocal/nodes/Default/groups/admin.plist に保存されています。

MacHoundはHasSessionとAdminToエッジに加えて、Bloodhoundデータベースに3つの新しいエッジを追加します：

• CanSSH - ホストにSSHで接続を許可されたエンティティ

• CanVNC - ホストにVNCで接続を許可されたエンティティ

• CanAE - ホストでAppleEventスクリプトを実行することを許可されたエンティティ

#User enumeration
dscl . ls /Users
dscl . read /Users/[username]
dscl "/Active Directory/TEST/All Domains" ls /Users
dscl "/Active Directory/TEST/All Domains" read /Users/[username]
dscacheutil -q user

#Computer enumeration
dscl "/Active Directory/TEST/All Domains" ls /Computers
dscl "/Active Directory/TEST/All Domains" read "/Computers/[compname]$"

#Group enumeration
dscl . ls /Groups
dscl . read "/Groups/[groupname]"
dscl "/Active Directory/TEST/All Domains" ls /Groups
dscl "/Active Directory/TEST/All Domains" read "/Groups/[groupname]"

#Domain Information
dsconfigad -show

キーチェーンへのアクセス

キーチェーンには高度に機密性の高い情報が含まれており、プロンプトを生成せずにアクセスすると、レッドチームの演習を前進させるのに役立つ可能性が非常に高いです：

外部サービス

MacOS Red Teamingは通常のWindows Red Teamingとは異なります。通常、MacOSは複数の外部プラットフォームと直接統合されています。MacOSの一般的な構成は、OneLoginと同期された資格情報を使用してコンピュータにアクセスし、OneLoginを介して複数の外部サービス（github、awsなど）にアクセスすることです。

その他のレッドチーム技術

Safari

Safariでファイルをダウンロードすると、"安全"なファイルの場合、自動的に開かれます。たとえば、zipファイルをダウンロードした場合、自動的に展開されます：

参考文献

• https://www.youtube.com/watch?v=IiMladUbL6E

• https://medium.com/xm-cyber/introducing-machound-a-solution-to-macos-active-directory-based-attacks-2a425f0a22b6

• https://gist.github.com/its-a-feature/1a34f597fb30985a2742bb16116e74e0

• Come to the Dark Side, We Have Apples: Turning macOS Management Evil

• OBTS v3.0: "An Attackers Perspective on Jamf Configurations" - Luke Roberts / Calum Hall