macOS Bypassing Firewalls
発見されたテクニック
以下のテクニックは、一部の macOS ファイアウォールアプリで機能することが確認されました。
ホワイトリスト名の悪用
たとえば、マルウェアを
launchd
のようなよく知られた macOS プロセスの名前で呼び出す
シンセティッククリック
ファイアウォールがユーザーに許可を求める場合、マルウェアに 許可をクリック させる
Apple 署名のバイナリの使用
curl
のようなものだけでなく、whois
なども
よく知られた Apple ドメイン
ファイアウォールは、apple.com
や icloud.com
のようなよく知られた Apple ドメインへの接続を許可している可能性があります。そして iCloud は C2 として使用されるかもしれません。
一般的なバイパス
ファイアウォールをバイパスしようとするいくつかのアイデア
許可されたトラフィックをチェック
許可されたトラフィックを知ることで、潜在的にホワイトリストに登録されているドメインやそれにアクセスできるアプリケーションを特定するのに役立ちます
DNSの乱用
DNSの解決は、おそらくDNSサーバーに連絡を取ることが許可されるであろう**mdnsreponder
**署名済みアプリケーションを介して行われます。
ブラウザアプリを介して
oascript
Google Chrome
Firefox
Safari
プロセスインジェクションを介して
プロセスにコードをインジェクトできれば、任意のサーバーに接続を許可されているプロセスにコードをインジェクトすることでファイアウォールの保護をバイパスできます:
pagemacOS Process Abuse参考文献
Last updated